Quel est le point commun entre Darkside et Defray ? Ces deux ransomwares ont chacun une version spécifique à ESXi. C’est en tout cas sur ce trait que CrowdStrike a choisi d’insister.
Darkside avait émergé en août 2020. À la baguette, un groupe cybercriminel qui visait initialement les terminaux point de vente. Il avait commencé à élargir son périmètre d’action au printemps, possiblement en réponse à la réduction d’activité dans le retail avec la pandémie.
La version ESXi du ransomware s’en prend à une dizaine de types de fichiers associés à des VM. Elle emploie un chiffrement en enveloppe qui implique l’algorithme ChaCha20 et une clé maîtresse RSA-4096. L’attaquant peut contrôler le processus pour gagner du temps en ne chiffrant que partiellement les fichiers – juste assez pour empêcher leur restauration.
Pour accéder aux serveurs ESXi, les attaquants utilisent la console vCenter, mais aussi SSH. Ils ont récupéré au préalable des identifiants, généralement à travers un contrôleur de domaine. Darkside vient alors se loger dans le dossier /tmp/, sous un nom générique. Il exploite les scripts VMware pour éteindre les VM et ainsi « libérer » les fichiers à chiffrer.
Plusieurs entreprises françaises figurent sur sa liste de victimes revendiquées. Les dernières en date son OMV System France (usinage de précision), Pénélope (agence d’hôte(sse)s d’accueil) et Wonderbox.
Defray, qu’on connaît aussi sous le nom de RansomEXX, prend lui aussi place dans /tmp/. Alors que sa version Windows s’exécute en mémoire. L’intrusion passe également par l’obtention préalable d’identifiants pour se connecter au serveur. Deux leviers : un module pour les récupérer dans les navigateurs et un autre pour les chercher dans la mémoire de l’hôte.
Une fois déposé, le ransomware s’assure un accès persistant en activant SSH. Il lui arrive de modifier le mot de passe root ou les clés SSH. Il est conçu pour accepter une commande qui lui dicte le chemin du dossier par lequel il doit commencer son chiffrement. Parmi ses capacités figure la désinstallation de l’utilitaire VMware Fault Domain Manager, destiné à relancer les VM qui crashent.
Photo d’illustration © Nmedia – Fotolia
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…