Partout dans le monde, les serveurs VMware ESXi non corrigés deviennent des proies faciles pour une nouvelle souche de ransomware. Nous montrons comment le malware peut être trompé dans certains cas.
De nombreux serveurs VMware ESXi probablement non corrigés ont été chiffrés par un nouveau ransomware au cours des dernières heures. Selon les rapports de Twitter, les attaques ont commencé dès vendredi matin et se poursuivent. La chose étrange à propos de ces attaques de rançongiciels, cependant, n’est pas qu’elles exploitent à nouveau une faille de sécurité fermée depuis longtemps.
Il est intéressant de noter que le portefeuille Bitcoin est différent dans chacun des nombreux ransomwares. Il ne semble pas non plus y avoir de site Web pour le groupe de rançongiciels, seulement un mystérieux « identifiant TOX ».
Les cyber-chanteurs ont également ciblé de nombreux serveurs VMware ESXi en Allemagne
L’attaque vise principalement les serveurs ESXi (hyperviseur de type 1 du fournisseur de virtualisation VMware) antérieurs à la version 7.0 U3i. Les attaquants accèdent apparemment via le port OpenSLP (427).
Au moins 120 serveurs VMware ESXi dans le monde ont déjà été compromis par cette campagne de ransomware. Environ 86 d’entre eux en France et 44 en Allemagne.
neoSolutions conclut :
Les attaques ont été rapides et généralisées, et les administrateurs du monde entier rapporteront bientôt qu’elles ont été cryptées par cette nouvelle campagne de ransomware.
néoSolutions
Il est actuellement difficile de savoir qui est responsable des attaques de rançongiciels en cours sur les serveurs ESXi. Ce qui est certain, c’est qu’il s’agit d’une nouvelle souche de ransomware.
Michel Gillespie de Malwarehunter (ID Ransomware) surveille de près ce qui se passe et le malware baptisé « ESXiArgs ». Cependant, il met en garde BleepingComputer et explique :
Jusqu’à ce que nous trouvions un échantillon, il n’y a aucun moyen de savoir si le cryptage présente des vulnérabilités.
Michel Gillespie
Une solution possible pour tous les administrateurs de serveur désespérés
Si vous faites partie de ces administrateurs de serveur qui doivent faire face à des ransomwares et à un serveur VMware ESXi crypté après un week-end bien mérité, rassurez-vous, car avec un peu de chance, il existe une solution pour vous.
Apparemment, cependant, dans de nombreux cas, les cybercriminels ont « seulement » chiffré les fichiers de configuration du logiciel de virtualisation de serveur de VMware. Un chercheur en sécurité a pris conscience de ce fait et a publié une « solution de contournement » sur Twitter.
Voici Habib Karataş sur Twitter solution de contournement publiée (Sans garantie d’exactitude):
1– Supprimez les fichiers de configuration chiffrés.
2– Créez une machine virtuelle vide.
3– Ouvrez le fichier de configuration sur la nouvelle machine et placez-le dans votre répertoire de machines chiffrées.
4 – Remplacez les informations du fichier de configuration par les noms d’ordinateur chiffrés.
5– Allez à l’écran Vmware et « Register VM » et c’est tout.
Cependant, il y aurait également des attaques dans lesquelles les disques durs vmdk sont complètement chiffrés avec ESXiArgs. Habib Karataş promet d’avoir bientôt une solution prête pour cette affaire.
La solution de contournement décrite ci-dessus est certainement une doublure argentée pour de nombreux administrateurs de serveur concernés. Néanmoins, toute personne exécutant un serveur VMware ESXi doit corriger la vulnérabilité immédiatement. De préférence aujourd’hui !