Le CERT avertit les Français d’une importante vague d’attaques de ransomware ciblant les systèmes ESXi de la société de virtualisation VMware. Les acteurs de la menace exploitent une vulnérabilité des hyperviseurs ESXi qui n’ont pas été mis à jour assez rapidement. Il s’agit ici d’une attaque à l’échelle mondiale.
Une attaque de ransomware ciblant les serveurs VMware ESXi
Au sein d’une entreprise ou d’une organisation, la virtualisation permet une utilisation plus économique et plus économe en énergie des serveurs et systèmes. La virtualisation nécessite l’utilisation d’un hyperviseur. Dans cette campagne, l’attaque cible les hyperviseurs ESXi de VMware.
Si les chercheurs évoquent une attaque à l’échelle mondiale, les clients en France semblaient initialement être les plus touchés. Le CERT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) a d’ailleurs été parmi les premiers à publier un avis d’attaque.
L’Agence nationale italienne de cybersécurité (ACN) et l’Agence de cybersécurité de Singapour ont également publié des communiqués. Celles-ci alertent les organisations sur la nécessité de prendre des mesures immédiates pour protéger leurs systèmes.
Les experts en cybersécurité sur le pied de guerre
L’attaque exploite une vulnérabilité dans VMware ESXi et est identifiée comme CVE-2021-21974 qui a été corrigée en février 2021. Selon le CERT, il s’agit d’attaques semi-automatisées qui peuvent cibler des instances non corrigées et exposées à Internet à l’aide de cette vulnérabilité. Cette dernière peut déclencher des problèmes de débordement dans le service OpenSLP entraînant l’exécution de code à distance.
Le rapport du fournisseur cloud français OVH Cloud confirme cette hypothèse. Les attaques ont été initialement attribuées à tort à des ransomwares nommés Nevada et Cheerscrypt (Emperor Dragonfly). Mais elles ont ensuite été liées à un nouveau ransomware nommé ESXiArgs.
L’avis initial de VMware en 2021 pour la vulnérabilité indiquait qu’elle affectait les versions 7.0, 6.7 et 6.5 d’ESXi. Mais cette nouvelle vague d’attaques semble également toucher les versions antérieures. Les experts et les enquêteurs continuent l’enquête pour confirmer ces premiers éléments.
Les observations révèlent également que le ransomware ne semble pas avoir de capacités d’exfiltration de fichiers. Par ailleurs, la note de rançon déposée lors de l’attaque ESXiArgs informe les victimes que leurs données seront vendues à moins qu’un paiement ne soit effectué. Les victimes sont invitées à payer 2 bitcoins pour recevoir la clé de cryptage nécessaire pour récupérer les fichiers.
Protégez-vous des attaques de ransomware en installant un logiciel de protection performant choisi parmi notre top des meilleurs antivirus.
- Partager l'article :