Une attaque massive par rançongiciel cible des machines virtuelles

Une campagne d’attaque par rançongiciel a frappé simultanément plusieurs milliers de machines virtuelles dans le monde, le 3 février 2023. L’offensive a d’abord été signalée par les autorités italiennes et françaises, notamment par le CERT-FR. Elle a aussi fait des victimes au Royaume-Uni, aux États-Unis, au Canada et en Finlande.

Les assaillants, qui n’ont pas encore été identifié, ont exploité une vulnérabilité dans l’hyperviseur ESXi de VMware, utilisé sur des machines virtuelles. Cette faille, répertoriée CVE-2021-21974, a été découverte et patchée en 2021, mais de nombreux utilisateurs n’ont pas appliqué ce correctif.

Les cybercriminels ont utilisé un botnet pour parcourir un maximum d’adresses IP, ainsi que les identifiants liés à chaque machine virtuelle. Dès qu’une cible n’avait pas appliqué le correctif, ils l’attaquaient et chiffraient ses SI. Toutes les victimes ont reçu la même demande de rançon de 2 bitcoins (environ 43 000 euros).

Il s’agit donc sans doute d’une attaque « à l’aveugle », sans cible précise, probablement largement automatisée. Le chiffrement s’avère d’ailleurs assez aléatoire, avec des fichiers sensibles restés intacts, et des éléments pouvant être récupérés.

Le CERT-FR conseille à tous les utilisateurs d’ESXi qui ne l’auraient pas fait d’appliquer immédiatement le correctif proposé par VMware. Une solution de contournement est également disponible, à savoir désactiver le service SLP sur les hyperviseurs non à jour.

« L’application seule des correctifs n’est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d’effectuer une analyse des systèmes afin de détecter tout signe de compromission », complète le CERT-FR.

Un chercheur en sécurité turc, Enes Sönmez, a détaillé de son côté une méthode pour récupérer le contenu d’un serveur virtuel chiffré par cette cyberattaque.