D’après CERT-FR, la campagne aurait débuté le 3 février dernier lorsque l’organisme a eu connaissance de campagnes d’attaque ciblant les hyperviseurs VMware ESXi dans le but d’y déployer un rançongiciel. « Dans l’état actuel des investigations, assure le CERT-FR, ces campagnes d’attaque semblent avoir tiré parti de l’exposition d’hyperviseurs ESXi qui n’auraient pas été mis à jour avec des correctifs de sécurité suffisamment rapidement ». En effet, les correctifs sont disponibles
depuis deux ans. Selon les experts, ces vulnérabilités ne touchent pas les versions récentes.
« Les attaques par ransomware contre des systèmes VMware ESXi non corrigés, signalées en Europe et ailleurs, paraissent avoir exploité une vulnérabilité pour laquelle un correctif a été mis à disposition en 2021 — ce qui souligne combien il est important de mettre à jour les systèmes d’infrastructure logicielle clés aussi rapidement que possible, affirme Stefan Van der Wal, consulting solutions engineer, EMEA chez Barracuda Networks ». Certes, il n’est pas toujours facile pour les organisations de mettre à jour leurs logiciels.
« Dans le cas de ce correctif, par exemple, poursuit Stefan Van der Wal, les organisations doivent désactiver temporairement des parties essentielles de leur infrastructure informatique. Mais il vaut bien mieux faire face à cette situation que d’être frappé par une attaque potentiellement dommageable ».
Exécuter le code malveillant à distance
D’après le CERT-FR, le service SLP en particulier semble avoir été visé. Ce service pour lequel plusieurs vulnérabilités avaient fait l’objet de correctifs successifs (notamment les vulnérabilités CVE-2020-3992 et CVE-2021-21974). Ces vulnérabilités permettaient à un attaquant d’exécuter le code malveillant à distance. Les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6,7. Apparemment, l’application de ses correctifs n’a pas été suffisante, car le CERT a eu la confirmation qu’il est possible de récupérer les disques des machines virtuelles lorsque les fichiers de configuration (. vmdk) sont chiffrés et renommés avec une extension. args.
En effet, dans ce cas, le fichier contenant le disque virtuel (fichier — flat.vmdk) n’est pas chiffré.
« Plusieurs procédures testées avec succès sont documentées », affirme le CERT.
