PSA : si vous êtes un administrateur de serveur ESXi, assurez-vous que vous exécutez la dernière version du logiciel EXSi. Ce conseil va normalement de soi, mais les pirates mènent actuellement une campagne de ransomware qui exploite un ancien bug (en termes techniques) du système. Ce problème ne se produirait pas si les administrateurs ESXi pratiquaient une hygiène de sécurité appropriée, explique VMware.
Au cours du week-end, des chercheurs en sécurité ont découvert que des acteurs malveillants exploitaient à distance un bug dans les serveurs VMware ESXi d’il y a deux ans. ESXi de VMware est un hyperviseur qui permet à un serveur d’héberger plusieurs machines virtuelles exécutant différents systèmes d’exploitation.
Selon l’équipe d’intervention d’urgence informatique en France (CERT-FR), les criminels ciblent les systèmes vulnérables du pays avec une déclinaison de logiciel malveillant appelée « ESXiArgs ». Les responsables de la cybersécurité en Italie ont confirmé que le rançongiciel frappait également des systèmes partout en Europe et en Amérique du Nord.
Les attaques durent depuis au moins le 3 février et ont touché plus de 3 200 serveurs VMware dans le monde. Aussi ancienne que soit cette faille de sécurité, il est remarquable de constater à quel point les attaques sont répandues. Une recherche Censys note que la France a été la plus durement touchée, avec 915 systèmes compromis. Les États-Unis, l’Allemagne, le Canada et le Royaume-Uni complètent le top cinq dans leurs positions respectives et représentent plus de la moitié des attaques comptabilisées. Censys le suit également dans 15 autres pays.
Les responsables de la Cybersecurity and Infrastructure Security Agency (CISA) aux États-Unis ont déclaré qu’ils examinaient la situation et aidaient les entreprises et les organisations concernées.
???? Une nouvelle #ransomware l’attaque se propage comme un fou ????
De nombreux serveurs VMware ESXi ont été chiffrés au cours des dernières heures avec cette note de rançon ????
Ce qui est intéressant, c’est que le portefeuille bitcoin est différent dans chaque demande de rançon. Pas de site internet pour le groupe, uniquement TOX id’ pic.twitter.com/mgyoLxbXvg
— DarkFeed (@ido_cohen2) 3 février 2023
« CISA travaille avec nos partenaires constructeurs des secteurs public et privé pour évaluer les impacts de ces incidents signalés et fournir une assistance si nécessaire », a déclaré un porte-parole à TechCrunch. « Toute organisation confrontée à un incident de cybersécurité doit immédiatement le signaler à la CISA ou au FBI. »
Les serveurs VMware compromis qui n’ont pas été mis à jour depuis des années peuvent être victimes d’attaques à distance « de faible complexité » qui ne nécessitent pas de connaître les informations d’identification des employés. Le ransomware crypte ensuite les données et émet une demande de rançon.
Jusqu’à présent, les responsables et les chercheurs ne savent pas qui est derrière les attaques. Deep Web Intelligence Feed a tweeté des captures d’écran du ransomware montrant que les attaquants demandent environ 2,064921 Bitcoins (environ 19 000 $ US) pour libérer les serveurs. DarkFeed note que chaque note de rançon répertorie un portefeuille Bitcoin différent. OVHcloud a initialement imputé la campagne à Nevada Ransomware, mais s’est depuis rétracté en déclarant : « Aucun élément ne peut nous amener à attribuer cette attaque à un groupe ».
Selon VMware, les attaques ne peuvent se produire que lorsque les administrateurs n’ont pas mis à jour leur logiciel ESXi depuis des années. La porte-parole Doreen Ruyak a déclaré à TechCrunch que les développeurs avaient pris connaissance de la faille de sécurité désignée CVE-2021-21974 et l’avaient corrigée dans un test de sécurité de février 2021. Elle exhorte toutes les organisations à s’assurer qu’elles utilisent une version actuelle du logiciel pour se protéger.
« L’hygiène de la sécurité est un élément clé de la prévention des attaques de ransomwares, et les organisations qui exécutent des versions d’ESXi impactées par CVE-2021-21974 et qui n’ont pas encore appliqué le correctif doivent prendre les mesures indiquées dans l’test », a déclaré Ruyak.