VMware a mis en garde contre une campagne mondiale de rançongiciels à grande échelle qui cible actuellement les serveurs VMware ESXi vulnérables dans le monde entier. Le fabricant d’hyperviseurs a révélé que des pirates exploitaient une vulnérabilité vieille de deux ans dans son hyperviseur ESXi et ses composants pour déployer des rançongiciels.
VMware ESXi est un service qui permet aux entreprises d’héberger plusieurs systèmes virtualisés exécutant différents systèmes d’exploitation sur une seule instance de serveur physique. Au cours du week-end, plusieurs clients ont signalé que des attaquants avaient infecté plus de 3 200 serveurs VMware ESXi non corrigés avec une variante de rançongiciel appelée”ESXiArgs”. Ils l’ont utilisé pour chiffrer les fichiers.vmsd,.vmx,.nvra,.vmxf et.vmdk stockés sur des serveurs ESXi vulnérables.
Selon le Groupe d’intervention d’urgence informatique CERT-FR, les cybercriminels exploitent la faille CVE-2021-21974 qui a été divulguée et corrigée en février 2021. La vulnérabilité avait un indice de gravité de 8,8 et elle pouvait être exploitée par toute personne ayant accès au même segment de réseau. Le code d’exploitation de preuve de concept est accessible au public depuis deux ans.
Cybersecurity and Infrastructure Security Agency (CISA) a enquêté sur la campagne et recommande des clients pour mettre à niveau vers la dernière version des composants vSphere. Pendant ce temps, VMware conseille aux clients de désactiver le service OpenSLP dans les anciennes versions d’ESXi.
Téléchargez le script”ESXiArgs-Recover”pour récupérer les VM des attaques de ransomware
CISA a également publié un nouveau”ESXiArgs-Recover” pour aider les clients à récupérer les machines virtuelles des attaques de ransomware ESXiArgs. « La CISA est consciente que certaines organisations ont signalé avoir réussi à récupérer des fichiers sans payer de rançon. CISA a compilé cet outil sur la base de ressources accessibles au public, y compris un tutoriel d’Enes Sonmez et Ahmet Aykac. Cet outil fonctionne en reconstruisant les métadonnées de la machine virtuelle à partir de disques virtuels qui n’ont pas été chiffrés par le logiciel malveillant », a expliqué CISA.
Si vous êtes affecté par les attaques du rançongiciel ESXiArgs, vous pouvez télécharger le Outil de récupération ESXiArgs de GitHub. Gardez à l’esprit que le script crée de nouveaux fichiers de configuration qui permettent aux clients d’accéder aux machines virtuelles. Cependant, les administrateurs informatiques doivent évaluer l’outil de récupération afin de déterminer s’il convient à la mise en œuvre dans leur système.