De nouveaux groupes de rançongiciels attaquent VMware et Linux

Les systèmes Linux et ESXi sont de plus en plus victimes d’attaques de rançongiciels. Comment protéger vos serveurs ?

Vous savez que le rançongiciel est un danger, mais comment renforcer vos défenses ? Autrement dit, qu’est-ce que vous devez protéger en premier lieu ? Les postes de travail Windows, les serveurs Active Directory et les autres produits Microsoft sont souvent les premiers candidats. Cette approche est généralement justifiée. Il convient toutefois de ne pas oublier que les cybercriminels ne cessent d’évoluer et que de nouveaux outils sont développés pour les serveurs de Linux et pour les systèmes de virtualisation. Le nombre d’attaques contre les systèmes Linux a augmenté de près de 75 % en 2022.

La motivation derrière ces attaques est évidente : l’open source et la virtualisation sont de plus en plus populaires, ce qui signifie que de plus en plus de serveurs utilisent Linux ou VMware ESXi. Ces systèmes conservent beaucoup d’informations sensibles qui, si elles sont chiffrées, peuvent instantanément paralyser les opérations d’une entreprise. Étant donné que la sécurité des systèmes Windows a toujours attiré l’attention, il s’avère que les serveurs qui ne sont pas de Windows sont une cible facile.

Les attaques lancées en 2022 et 2023

• En février 2023, plusieurs propriétaires de serveurs VMware ESXi ont été victimes de l’épidémie du rançongiciel ESXiArgs. L’exploitation de la vulnérabilité CVE-2021-21974 permettait aux cybercriminels de désactiver les machines virtuelles et de chiffrer les fichiers .vmxf, .vmx, .vmdk, .vmsd et .nvram.
• Le tristement célèbre gang Clop, connu pour l’attaque à grande échelle qui a visé les services de transfert de fichiers Fortra GoAnywhere à cause de la vulnérabilité CVE-2023-0669, a été détecté en décembre 2022 alors qu’il utilisait une version Linux (bien que de manière limitée) de son rançongiciel. Le programme est légèrement différent de son homologue Windows (puisque certaines optimisations et techniques de défense n’existent pas) mais est adapté aux autorisations de Linux et aux types d’utilisateur. Il vise spécifiquement les fichiers de la base de données d’Oracle.
• Une nouvelle version du rançongiciel BlackBasta a été conçue spécifiquement pour attaquer les hyperviseurs ESXi. Le système de chiffrement se sert de l’algorithme ChaCha20 en mode multithread avec l’utilisation de plusieurs processeurs. Étant donné que les fermes de serveurs ESXi sont généralement multiprocesseurs, cet algorithme minimise le temps consacré au chiffrement de tout l’environnement.

Source