iT News (attaque d’ampleur internationale) – Plusieurs milliers de serveurs informatiques tournant sous VMWare sont actuellement ciblés par une campagne de ransomware. Un type d’attaque dont on risque d’entendre parler de plus en plus souvent.
Le dimanche 5 février 2023, l’agence pour la cybersécurité italienne a informé ses homologues internationaux que des milliers de serveurs informatiques sont actuellement la cible d’une vague d’attaques de très grande ampleur. Les pirates exploitent une faille connue du logiciel VMWare pour laquelle un correctif a été publié en février 2021, mais que tous les administrateurs réseau n’ont probablement pas installé. Ils mettent ainsi à profit une faiblesse de la fonctionnalité ESXi offerte par l’outil de virtualisation.
Le CERT-FR a révélé l’existence d’une campagne massive de ransomwares. Cette dernière vise actuellement les serveurs utilisant l’ESXi de VMWare, un hyperviseur virtualisé pour système embarqué. Les hackers utiliseraient ces machines pour installer un ransomware prénommé ESXiArgs. Bien que les éditeurs de VMWare aient depuis longtemps connaissance de cette faille listée sous CVE-2021-21974, et qu’ils aient publié la mise à jour de sécurité idoine, nombre d’administrateurs de réseaux et d’hébergeurs n’ont pas entrepris les updates adéquates. VMware recommande à ses clients de mettre à jour leur logiciel.
PRÈS DE 3200 SERVEURS DANS LE MONDE AURAIENT DÉJÀ ÉTÉ VERROUILLÉS PAR CE RANSOMWARE
Selon les autorités italiennes, des serveurs auraient été compromis en Italie, mais aussi en France, en Finlande, aux États-Unis et au Canada et plusieurs dizaines d’organisations pourraient se retrouver « éjectées » de leurs propres systèmes. L’Agence américaine de cybersécurité et de sécurité des infrastructures est en train d’évaluer l’ampleur des dégâts causés par ESXiArgs. Nombre d’internautes italiens affirment avoir eu du mal à se connecter ce dimanche, mais selon les autorités, ces coupures n’auraient pas de lien avec la campagne de ransomware.
ESXiArgs crypte certains fichiers sur les serveurs ESXi compromis et crée une note de rançon dans un fichier texte ou HTML. Si, par malheur, vous êtes affecté par ce malware, il convient d’en informer les autorités de lutte contre la malveillance. Selon Bleeping Computer, « tous les admins devraient vérifier l’existence d’un fichier vmtools.py et s’assurer de l’effacer immédiatement le cas échéant ».