Le ransomware ESXiArgs cible les serveurs VMware ESXi non corrigés.
Des administrateurs, des fournisseurs d'hébergement et le Centre d'intervention en cas d'urgence informatique (CERT-FR) ont mis en garde contre une nouvelle attaque de ransomware nommée ESXiArgs qui cible les serveurs VMware ESXi qui n'ont pas été corrigés contre une vulnérabilité d'exécution de code à distance vieille de deux ans.
La vulnérabilité, connue sous le nom de CVE-2021-21974, est causée par un problème de débordement de tas dans le service OpenSLP qui peut être exploité par des attaquants non authentifiés dans des attaques de faible complexité. La faille affecte les versions ESXi 7.x antérieures à ESXi70U1c-17325551, les versions ESXi 6.7.x antérieures à ESXi670-202102401-SG et les versions ESXi 6.5.x antérieures à ESXi650-202102101-SG.
Pour bloquer les attaques entrantes, il est conseillé aux administrateurs de désactiver le service vulnérable Service Location Protocol (SLP) sur les hyperviseurs ESXi qui n'ont pas été mis à jour et d'appliquer le correctif dès que possible. En outre, les systèmes qui n'ont pas été corrigés doivent également être analysés pour détecter les signes de compromission.
Dans cette campagne de ransomware, les attaquants ont chiffré des fichiers avec les extensions .vmxf, .vmx, .vmdk, .vmsd et .nvram sur des serveurs ESXi compromis et ont créé un fichier .args pour chaque document chiffré avec des métadonnées, qui sont probablement nécessaires pour le décryptage. Cependant, les paiements de rançon ont été limités, avec seulement quatre paiements de rançon signalés pour un total de 88 000 $. Cela pourrait être dû à un guide de récupération VMware ESXi créé par un chercheur en sécurité, qui permet aux administrateurs de reconstruire leurs machines virtuelles et de récupérer leurs données gratuitement.
On pensait initialement que l'attaque était liée à l'opération ransomware Nevada, mais une enquête ultérieure a révélé que les notes de ransomware observées dans cette attaque ne semblaient pas être liées au ransomware Nevada et semblaient provenir d'une nouvelle famille de ransomware. Le ransomware ESXiArgs est suivi par Michael Gillespie de ID Ransomware, qui a déclaré que tant qu'un échantillon n'est pas trouvé, il n'est pas possible de déterminer s'il présente des faiblesses dans le cryptage.
En conclusion, il est crucial pour les administrateurs de mettre à jour leurs serveurs VMware ESXi et de désactiver le service OpenSLP pour se protéger contre cette attaque de ransomware. En cas de violation, il est conseillé aux administrateurs de récupérer une copie du crypteur ESXiArgs et du script shell associé pour mieux comprendre l'attaque et prendre les mesures appropriées pour récupérer leurs données.
Les sources de cet article comprennent un article de BleepingComputer.