Selon l’organisme français de surveillance de la cybersécurité, une attaque de ransomware ciblant particulièrement les serveurs VMware ESXi est en cours depuis le vendredi 3 février. Les tout premiers signalements provenaient de France, mais plus tard également d’Italie, de Finlande, des États-Unis et du Canada. Au total, un minimum de 3 200 serveurs sont touchés.
Les serveurs touchés sont attaqués par une vulnérabilité de code à distance vieille de deux ans, CVE-2021-21974, qui est maintenant utilisée pour propager une toute nouvelle variante de rançongiciel ESXiArgs. Cette vulnérabilité produit un « débordement de pile » dans le service OpenSLP. Les cybercriminels peuvent rapidement exploiter cette vulnérabilité. Un correctif pour cela a été proposé depuis février 2021, mais apparemment pas encore exécuté partout.
La vulnérabilité CVE-2021-21974 s’applique aux systèmes suivants : ESXi versions 7.x pour le build ESXi70U1c-17325551, ESXi versions 6.7.x pour construire ESXi670-202102401-SG et ESXi versions 6.5.x pour développer ESXi650-202102101-SG. En particulier, les versions 6.x à 6.7 de l’hyperviseur ESXi seraient la véritable cible de l’attaque internationale de ransomware en ce moment
Détails du ransomware ESXiArgs
Cette attaque implique une toute nouvelle version de rançongiciels. Il a en fait reçu le nom d’ESXiArgs. Les chercheurs notent à partir d’échantillons que le ransomware crypte les fichiers avec les extensions.vmxf,. vmx,. vmdk,. vmsd et.nvram. De plus, il développe une application .args pour chaque fichier crypté avec des métadonnées. Ce fichier peut être requis pour le décryptage final.
Lorsqu’un serveur est endommagé, un certain nombre de fichiers sont placés dans le dossier temperature. Il s’agit du fichier de chiffrement réel, encrypt.sh. Cela effectue plusieurs tâches nécessaires à l’installation du chiffreur.
De plus, ce dossier contient également les fichiers motd, le message de ransomware dans un fichier.text affiché à la connexion et index.html et la page avec le ransomware notez que cela modifie la page d’accueil de VMware ESXi. Ce fichier s’appelle index1.html.
Algorithme de Sosemanuk
Des recherches plus approfondies révèlent que pour chiffrer un fichier, le rançongiciel génère 32 octets en utilisant les pseudo-octets protégés CPRNG RAND d’OpenSSL. Cette clé est utilisée pour chiffrer le fichier avec Sosemanuk. L’essentiel du fichier lui-même est crypté avec RSA.
L’utilisation de l’algorithme Sosemanuk est particulièrement notable, selon les experts. Cela suggère que ce tout nouveau rançongiciel utilise le code source Babuk (variante ESXi). On l’a maintenant apparemment personnalisé pour utiliser RSA au lieu de l’implémentation de Babuk Curve25519.
Spot dès que possible
CERT-FR alerte que les utilisateurs finaux exécutant des serveurs VMware EXSi avec l’implémentation mentionnée précédemment les versions de l’hyperviseur doivent être corrigées le plus rapidement possible. Dans tous les cas, tout le monde doit immédiatement tester ses systèmes pour voir si la version du rançongiciel avec les fonctionnalités mentionnées est déjà présente sur les systèmes avant l’exécution des correctifs.
Toute l’actualité en temps réel, est sur L’Entrepreneur
