Pour gérer vos consentements :
Categories: Cybersécurité

Un « ransomware ESXi » sévit en France : les choses à savoir

« À tous : si vous utilisez ESXi 6.x, mettez à jour immédiatement, un cryptolock est en train de se propager à toute vitesse ! » Ainsi Arnaud de Bermigham, président-fondateur de Scaleway, avait-il tiré la sonnette d’alarme vendredi 3 février en début d’après-midi.

Quelques heures plus tard, Octave Klaba, son homologue chez OVHcloud, passait à son tour le message. « Mettez à jour vos ESXi », expliquait-il, billet de blog du CISO à l’appui.

Presque en parallèle, le CERT-FR publiait une alerte.

L’alerte CERT évoque des attaques destinées à déployer un ransomware ; sans préciser lequel. La faille exploitée semble être la CVE-2021-21974… pour laquelle un correctif est disponible depuis près de deux ans. Dans les grandes lignes, elle peut permettre d’exécuter du code à distance en passant par le port OpenSLP (427). Sont concernées les versions suivantes d’ESXi :

7.x et antérieures à ESXi70U1c-17325551
6.7.x et antérieures à ESXi670-202102401-SG*
6.5.x et antérieures à ESXi650-202102101-SG*

Dans le cas où on ne pourrait appliquer les correctifs, on désactivera, au possible, OpenSLP, selon le mode opératoire que détaille VMware.

ESXiargs plutôt que Nevada

L’analyse d’OVHcloud a un temps mentionné le ransomware Nevada. Ce n’est plus le cas, faute d’éléments probants. On semble plutôt avoir affaire ESXiargs.

Pourquoi ce nom ? Parce qu’à chaque élément qu’il va chiffrer, le malware associe un fichier .args contenant des directives.

Sur les hôtes ESXi compromis, le chiffrement n’intervient qu’après plusieurs étapes. Un script s’exécute d’abord, et réalise plusieurs tâches. Parmi elles :

– Modifier les fichiers de configuration (.vmx) des VM de sorte que les chaînes « .vmdk » et « .vswp » deviennent « 1.vmdk » et « 1.vswp »

– Forcer l’arrêt des VM en tuant les processus contenant la chaîne « .vmx »

– Obtenir une liste des volumes ESXi et y recherche certaines extensions de fichiers

– Pour chaque élément d’intérêt, créer dans le même dossier, un fichier .args contenant des paramètres (taille des blocs, portions à ne pas chiffrer…) dont certains calculés à la volée

Le chiffrement s’appuie sur une clé publique déployée dans /tmp, une clé privée de 32 octets générée via OpenSSL et l’algorithme Sosemanuk. Une association qui n’est pas sans rappeler le ransomware Babuk, dont le code source avait filtré…

Par après, ESXiargs remplace la page d’accueil de l’hyperviseur (index.html) par une note de rançon. Il la copie aussi, au format texte, dans /etc/motd afin qu’elle s’affiche au moment du login.

Il arrive que le chiffrement échoue au moins partiellement. OVHcloud recommande, pour qui est dans ce cas, une méthode de récupération des .vmdk. À utiliser « à vos risques et périls », elle fonctionne « les deux tiers du temps », d’après l’hébergeur.

* On notera plus globalement que les versions 6.5.x et 6.7.x sont arrivées en fin de vie il y a quelques mois. Elles ne bénéficient plus, en standard, de mises à jour de sécurité.

Photo d’illustration © Nmedia – Fotolia

Recent Posts

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

2 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

6 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

8 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

1 jour ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago