Support technique
Documentation
Connexion
Nous contacter
SentinelOne signale une augmentation des attaques visant VMWare ESXi
26 mai 2023 - L'équipe de relations publiques de TuxCare
SentinelOne a lancé un avertissement concernant l'augmentation du nombre de nouvelles familles de ransomware créées exclusivement pour les systèmes VMware ESXi. Ces applications dangereuses sont basées sur le code source de Babuk qui circule.
La famille de ransomwares Babuk, découverte pour la première fois en janvier 2021, s'est rapidement fait remarquer par les attaques qu'elle a lancées contre plusieurs organisations. Cependant, l'un des opérateurs du logiciel malveillant a mis en ligne le code source du logiciel malveillant en septembre 2021. Cette découverte s'est avérée cruciale, car elle a permis aux chercheurs en sécurité de créer un outil de décryptage gratuit en moins de deux mois.
Les acteurs de la menace ont utilisé le code source publié pour créer une série de nouvelles souches de ransomware. Parmi eux, RTM Locker, Rook et Rorschach (également connu sous le nom de BabLock), qui sont tous capables d'attaquer des serveurs ESXi fonctionnant sous Windows et Linux.
Selon SentinelOne, au moins dix familles de ransomwares se sont formées au cours de l'année écoulée, exploitant le code source de Babuk pour cibler en particulier les machines VMware ESXi. En outre, le code a été repris par de plus petites opérations de ransomware telles que House's Mario, Play, Cylance, Dataf Locker, Lock4 et XVGV. Plus inquiétant encore, des gangs de ransomwares bien connus comme Alphv/BlackCat, Black Basta, Conti, Lockbit et REvil ont été détectés en train de cibler leurs attaques contre des déploiements ESXi.
SentinelOne poursuit en expliquant que seuls les casiers ESXi de Conti et de REvil présentent des recoupements avec le code de Babuk qui a fait l'objet d'une fuite. Cela montre un lien possible entre les deux groupes. Selon l'entreprise de cybersécurité, ces activités de ransomware peuvent avoir externalisé un projet de casier ESXi à un développeur commun ou utilisé un code partagé pour coopérer. Par ailleurs, à l'exception de l'utilisation de la même technologie de chiffrement open-source Sosemanuk, le casier ESXiArgs présente peu de similitudes avec Babuk.
Selon SentinelOne, les acteurs de la menace utilisent de plus en plus le code de Babuk comme base pour créer des casiers ESXi et Linux. En outre, il prévient que les attaquants pourraient adopter à l'avenir le casier NAS du groupe Babuk basé sur Go, car Golang, le langage de programmation utilisé pour le casier NAS, est de plus en plus populaire parmi les acteurs de la menace. Étant donné que les systèmes NAS ciblés sont principalement basés sur Linux, l'utilisation du casier NAS pourrait donner aux attaquants un outil facile et efficace pour lancer des attaques par ransomware.
Cependant, les conséquences de ces attaques vont au-delà des installations ESXi, car la collaboration et le partage de code entre différentes organisations de ransomware illustrent les stratégies croissantes utilisées par les pirates dans leur quête de gains financiers.
Les sources de cet article comprennent un article paru dans SecurityWeek.
