ClickCease Le ransomware ESXiArgs cible les serveurs VMware ESXi non corrigés.

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Le ransomware ESXiArgs cible les serveurs VMware ESXi non corrigés.

par

February 13, 2023 - TuxCare PR Team

Des administrateurs, des fournisseurs d'hébergement et le Centre d'intervention en cas d'urgence informatique (CERT-FR) ont mis en garde contre une nouvelle attaque de ransomware nommée ESXiArgs qui cible les serveurs VMware ESXi qui n'ont pas été corrigés contre une vulnérabilité d'exécution de code à distance vieille de deux ans.

La vulnérabilité, connue sous le nom de CVE-2021-21974, est causée par un problème de débordement de tas dans le service OpenSLP qui peut être exploité par des attaquants non authentifiés dans des attaques de faible complexité. La faille affecte les versions ESXi 7.x antérieures à ESXi70U1c-17325551, les versions ESXi 6.7.x antérieures à ESXi670-202102401-SG et les versions ESXi 6.5.x antérieures à ESXi650-202102101-SG.

Pour bloquer les attaques entrantes, il est conseillé aux administrateurs de désactiver le service vulnérable Service Location Protocol (SLP) sur les hyperviseurs ESXi qui n'ont pas été mis à jour et d'appliquer le correctif dès que possible. En outre, les systèmes qui n'ont pas été corrigés doivent également être analysés pour détecter les signes de compromission.

Dans cette campagne de ransomware, les attaquants ont chiffré des fichiers avec les extensions .vmxf, .vmx, .vmdk, .vmsd et .nvram sur des serveurs ESXi compromis et ont créé un fichier .args pour chaque document chiffré avec des métadonnées, qui sont probablement nécessaires pour le décryptage. Cependant, les paiements de rançon ont été limités, avec seulement quatre paiements de rançon signalés pour un total de 88 000 $. Cela pourrait être dû à un guide de récupération VMware ESXi créé par un chercheur en sécurité, qui permet aux administrateurs de reconstruire leurs machines virtuelles et de récupérer leurs données gratuitement.

On pensait initialement que l'attaque était liée à l'opération ransomware Nevada, mais une enquête ultérieure a révélé que les notes de ransomware observées dans cette attaque ne semblaient pas être liées au ransomware Nevada et semblaient provenir d'une nouvelle famille de ransomware. Le ransomware ESXiArgs est suivi par Michael Gillespie de ID Ransomware, qui a déclaré que tant qu'un échantillon n'est pas trouvé, il n'est pas possible de déterminer s'il présente des faiblesses dans le cryptage.

En conclusion, il est crucial pour les administrateurs de mettre à jour leurs serveurs VMware ESXi et de désactiver le service OpenSLP pour se protéger contre cette attaque de ransomware. En cas de violation, il est conseillé aux administrateurs de récupérer une copie du crypteur ESXiArgs et du script shell associé pour mieux comprendre l'attaque et prendre les mesures appropriées pour récupérer leurs données.

Les sources de cet article comprennent un article de BleepingComputer.

Résumé
Le ransomware ESXiArgs cible les serveurs VMware ESXi non corrigés.
Nom de l'article
Le ransomware ESXiArgs cible les serveurs VMware ESXi non corrigés.
Description
Les administrateurs, les fournisseurs d'hébergement et le Centre d'intervention pour les urgences informatiques (CERT-FR) ont mis en garde contre une nouvelle attaque de ransomware appelée ESXiArgs.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !