Une nouvelle opération de ransomware-as-service (RaaS) appelée MichaelKors est devenue le dernier logiciel malveillant de cryptage de fichiers à cibler Linux et Systèmes VMware ESXi depuis avril 2023.
Le développement indique que les acteurs cybercriminels fixent de plus en plus les yeux sur l’ESXi, a déclaré la société de cybersécurité CrowdStrike dans un communiqué. rapport partagé avec The Hacker News.
« Cette tendance est particulièrement remarquable compte tenu du fait qu’ESXi, de par sa conception, ne prend pas en charge les agents tiers ou les logiciels audiovisuels », a déclaré la société.
« En fait, VMware va jusqu’à prétendre que ce n’est pas nécessaire. Ceci, combiné à la popularité d’ESXi en tant que système de virtualisation et de gestion répandu et populaire, fait de l’hyperviseur une cible très attrayante pour les adversaires modernes. »
Le ciblage des hyperviseurs VMware ESXi avec ransomware pour mettre à l’échelle de telles campagnes est une technique connue sous le nom jackpot de l’hyperviseur. Au fil des ans, l’approche a été adoptée par plusieurs groupes de rançongiciels, dont Royal.
De plus, une analyse de SentinelOne la semaine dernière a révélé que 10 familles différentes de ransomwares, dont Conti et REvil, ont utilisé le code source Babuk divulgué en septembre 2021 pour développer des casiers pour les hyperviseurs VMware ESXi.
D’autres équipes notables de cybercriminalité qui ont mis à jour leur arsenal pour cibler ESXi comprennent ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, NevadaJeu, Tour et Rorschach.
Une partie de la raison pour laquelle les hyperviseurs VMware ESXi deviennent une cible attrayante est que le logiciel s’exécute directement sur un serveur physique, ce qui permet à un attaquant potentiel d’exécuter des binaires ELF malveillants et d’obtenir un accès illimité aux ressources sous-jacentes de la machine.
Les attaquants qui cherchent à violer les hyperviseurs ESXi peuvent le faire en utilisant des informations d’identification compromises, puis en obtenant des privilèges élevés et en se déplaçant latéralement sur le réseau ou en s’échappant des limites de l’environnement via des failles connues pour faire avancer leurs motivations.
VMware, dans un article de la base de connaissances dernière mise à jour en septembre 2020, note que « le logiciel antivirus n’est pas requis avec l’hyperviseur vSphere et l’utilisation d’un tel logiciel n’est pas prise en charge ».
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
« De plus en plus d’acteurs de la menace reconnaissent que le manque d’outils de sécurité, le manque de segmentation réseau adéquate des interfaces ESXi et [in-the-wild] vulnérabilités pour ESXi crée un environnement riche en cibles », a déclaré CrowdStrike.
Les acteurs du ransomware sont parmi les seules entreprises à frapper l’infrastructure virtuelle. En mars 2023, Mandiant, propriété de Google, a attribué à un groupe d’États-nations chinois l’utilisation de nouvelles portes dérobées baptisées VIRTUALPITA et VIRTUALPIE dans des attaques visant les serveurs VMware ESXi.
Pour atténuer l’impact du jackpot de l’hyperviseur, il est recommandé aux organisations d’éviter l’accès direct aux hôtes ESXi, d’activer l’authentification à deux facteurs, d’effectuer des sauvegardes périodiques des volumes de la banque de données ESXi, d’appliquer les mises à jour de sécurité et d’effectuer des examens de la posture de sécurité.
« Les adversaires continueront probablement à cibler l’infrastructure de virtualisation basée sur VMware », a déclaré CrowdStrike. « Cela pose une préoccupation majeure alors que de plus en plus d’organisations continuent de transférer des charges de travail et des infrastructures dans des environnements cloud, le tout via des environnements VMWare Hypervisor. »
