dimanche, 19 mai 2024

Attaque mondiale de ransomware sur des milliers de serveurs VMware ESXi

Selon l’organisme français de surveillance de la cybersécurité, une attaque de ransomware ciblant particulièrement les serveurs VMware ESXi est en cours depuis le vendredi 3 février. Les tout premiers signalements provenaient de France, mais plus tard également d’Italie, de Finlande, des États-Unis et du Canada. Au total, un minimum de 3 200 serveurs sont touchés.

Les serveurs touchés sont attaqués par une vulnérabilité de code à distance vieille de deux ans, CVE-2021-21974, qui est maintenant utilisée pour propager une toute nouvelle variante de rançongiciel ESXiArgs. Cette vulnérabilité produit un « débordement de pile » dans le service OpenSLP. Les cybercriminels peuvent rapidement exploiter cette vulnérabilité. Un correctif pour cela a été proposé depuis février 2021, mais apparemment pas encore exécuté partout.

La vulnérabilité CVE-2021-21974 s’applique aux systèmes suivants : ESXi versions 7.x pour le build ESXi70U1c-17325551, ESXi versions 6.7.x pour construire ESXi670-202102401-SG et ESXi versions 6.5.x pour développer ESXi650-202102101-SG. En particulier, les versions 6.x à 6.7 de l’hyperviseur ESXi seraient la véritable cible de l’attaque internationale de ransomware en ce moment

Détails du ransomware ESXiArgs

Cette attaque implique une toute nouvelle version de rançongiciels. Il a en fait reçu le nom d’ESXiArgs. Les chercheurs notent à partir d’échantillons que le ransomware crypte les fichiers avec les extensions.vmxf,. vmx,. vmdk,. vmsd et.nvram. De plus, il développe une application .args pour chaque fichier crypté avec des métadonnées. Ce fichier peut être requis pour le décryptage final.

Lorsqu’un serveur est endommagé, un certain nombre de fichiers sont placés dans le dossier temperature. Il s’agit du fichier de chiffrement réel, encrypt.sh. Cela effectue plusieurs tâches nécessaires à l’installation du chiffreur.

De plus, ce dossier contient également les fichiers motd, le message de ransomware dans un fichier.text affiché à la connexion et index.html et la page avec le ransomware notez que cela modifie la page d’accueil de VMware ESXi. Ce fichier s’appelle index1.html.

Algorithme de Sosemanuk

Des recherches plus approfondies révèlent que pour chiffrer un fichier, le rançongiciel génère 32 octets en utilisant les pseudo-octets protégés CPRNG RAND d’OpenSSL. Cette clé est utilisée pour chiffrer le fichier avec Sosemanuk. L’essentiel du fichier lui-même est crypté avec RSA.

L’utilisation de l’algorithme Sosemanuk est particulièrement notable, selon les experts. Cela suggère que ce tout nouveau rançongiciel utilise le code source Babuk (variante ESXi). On l’a maintenant apparemment personnalisé pour utiliser RSA au lieu de l’implémentation de Babuk Curve25519.

Spot dès que possible

CERT-FR alerte que les utilisateurs finaux exécutant des serveurs VMware EXSi avec l’implémentation mentionnée précédemment les versions de l’hyperviseur doivent être corrigées le plus rapidement possible. Dans tous les cas, tout le monde doit immédiatement tester ses systèmes pour voir si la version du rançongiciel avec les fonctionnalités mentionnées est déjà présente sur les systèmes avant l’exécution des correctifs.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline