CKFORUM
News Ransomware : vaste campagne contre les serveurs VMware ESXi - Version imprimable

+- CKFORUM (https://blog.ckforum.com)
+-- Forum : Autres (https://blog.ckforum.com/forum-9.html)
+--- Forum : News (https://blog.ckforum.com/forum-35.html)
+--- Sujet : News Ransomware : vaste campagne contre les serveurs VMware ESXi (/thread-779.html)



Ransomware : vaste campagne contre les serveurs VMware ESXi - yoyo - 04-02-2023

   


[mise à jour, le 4 février 2023 à 12h10] Le moteur de recherche spécialisé Onyphe recense désormais plus de 500 systèmes VMware ESXi affectés à travers le monde. Pour l'heure, le ransomware impliqué est appelé ESXiArgs, indiquent nos confrères de Bleeping Computer, parce que l'extension des fichiers chiffrés est modifiée en ".args". Léger, environ 49 Ko, l'exécutable chargé du chiffrement est lancé par un script shell.


Dans la nuit, Enes Sonmez de l'équipe technique de YoreGroup a produit un pas à pas qui, de sources concordantes, fonctionne et permet de récupérer les fichiers chiffrés sans avoir à passer par la restauration de sauvegardes. De quoi potentiellement aider à accélérer la remise en route des services affectés.

[article original, le 3 février 2023 @ 19h05] Arnaud de Bermingham, fondateur et de président de Scaleway, sonnait l’alarme peu après 14h30, ce vendredi 3 février, sur Twitter : « si vous utilisez ESXi 6.x, mettez à jour immédiatement, un cryptolock est en train de se propager à toute vitesse ». Ikoula l’avait précédé de quelques minutes. Mais pour beaucoup, c’était déjà trop tard.

Peu après 12h40, Nice Météo 06 indiquait rencontrer un problème sur son serveur informatique. Une heure après, son cofondateur explique : « la machine est un hôte ESXi, et on me demande 2 BTC ». Son cas n’est pas isolé.

Le serveur ESXi 6.7 d’un client espagnol d’OVHcloud est également frappé. Le montant demandé est le même. La radio H2O Chambery semble également concernée. Fanampiana évoque un « problème technique » de son serveur OVH. Des clients de l’allemand Hetzner semblent aussi affectés.

Quel ransomware ?
Toutes les demandes de rançon liées à cette campagne que nous avons pu consulter exigent le même montant : un peu plus de 2 bitcoins, sous trois jours. Les adresses de paiement sont différentes pour chaque victime, mais l’identifiant de messagerie instantanée chiffrée Tox ne change pas.

La rumeur a, un temps, fait référence au ransomware Nevada tout récemment mentionné par ReSecurity. Mais la demande de rançon observée sur les serveurs ESXi compromis aujourd’hui ne correspond pas : elle rappelle plutôt celle du rançongiciel CheersCrypt. En l’absence d’échantillon disponible à l’heure de publier ces lignes, il est toutefois impossible d’arriver à une conclusion.

Reste que Nevada est un ransomware déployé dans le cadre d’attaque manuelles, à l’instar d’Avos, de BlackCat, de LockBit, par exemple. Autant de ransomware dits « manually operated » qui disposent d’une variante Linux/ESXi.

La campagne lancée ce 3 février contre les serveurs ESXi ressemble plutôt à une opération automatisée de grande ampleur profitant de l’exploitation de vulnérabilités pour lesquelles les correctifs n’ont pas été appliqués. De quoi rappeler des campagnes comme celles ayant touché des NAS, avec Qlocker, eCh0raix ou DeadBolt.

En quelques heures, le moteur de recherche spécialisé Shodan a déjà recensé 69 systèmes ESXi compromis à travers le monde, dont 25 rien qu’en France. OVHcloud arrive clairement en première ligne dans ces données.

Quelle(s) vulnérabilité(s) exploitée(s) ?

La – ou les – vulnérabilité exploitée dans cette campagne n’est pas encore parfaitement déterminée à l’heure où sont publiées ces lignes. Scaleway a initialement fait référence à la série couverte par le bulletin VMSA-2022-0030 d’août dernier. D’autres ont suggéré l’exploitation de la CVE-2020-3992.

OVHcloud avance une autre piste : celle de l’exploitation de la vulnérabilité CVE-2021-21974. La campagne viserait principalement les serveurs ESXi de version antérieure à la 7.0 U3i via leur port OpenSLP (427). Des démonstrateurs d’exploitation de cette vulnérabilité sont publiquement disponibles depuis le mois de mai 2021. VMware avait publié un bulletin d’alerte sur cette vulnérabilité trois mois plus tôt.


Source de l'information : https://www.lemagit.fr/actualites/365530273/Ransomware-vaste-campagne-contre-les-serveurs-VMware-ESXi