Des chercheurs découvrent un ransomware qui chiffre les machines virtuelles hébergées sur un hyperviseur ESXi

Sophos a publié les détails d’un nouveau ransomware écrit en Python que les attaquants ont utilisé pour compromettre et chiffrer les machines virtuelles hébergées sur un hyperviseur ESXi.

« Il s’agit de l’une des attaques de ransomware les plus rapides que Sophos ait jamais étudiées et elle semble avoir ciblé avec précision la plate-forme ESXi », a déclaré Andrew Brandt, chercheur principal chez Sophos.

« Python est un langage de codage qui n’est pas couramment utilisé pour les ransomwares. Cependant, Python est préinstallé sur les systèmes basés sur Linux tels que ESXi, ce qui rend possible les attaques basées sur Python sur ces systèmes. Les serveurs ESXi représentent une cible attrayante pour les acteurs de la menace ransomware car ils peuvent attaquer plusieurs machines virtuelles à la fois, chacune d’entre elles pouvant exécuter des applications ou des services critiques pour l’entreprise. Les attaques contre les hyperviseurs peuvent être à la fois rapides et très perturbatrices. Les opérateurs de ransomware, dont DarkSide et REvil, ont ciblé les serveurs ESXi dans leurs attaques. »

L’enquête a révélé que l’attaque a commencé à 0h30 un dimanche, lorsque les opérateurs du ransomware se sont introduits dans un compte TeamViewer fonctionnant sur un ordinateur appartenant à un utilisateur qui avait également des informations d’accès d’administrateur de domaine.

Cela a permis aux attaquants d’installer un outil de communication réseau sécurisé appelé Bitvise sur la machine appartenant à l’administrateur de domaine, ce qui leur a donné un accès à distance au système ESXi, y compris les fichiers de disque virtuel utilisés par les machines virtuelles.

Vers 3 h 40, les attaquants ont déployé le ransomware et chiffré ces disques durs virtuels hébergés sur le serveur ESXi.

Partagez cet article sur les réseaux sociaux:

Abonnez-vous à l'Infolettre!
Abonnez-vous à notre bulletin mensuel pour rester au fait des principaux risques de cybersécurité.

Les Dernières Nouvelles de Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques de sécurité, lisez le ici en premier:

Faites nous part de vos besoins.
Obtenez une réponse le même jour ouvrable.

Faites nous part de vos besoins. Obtenez une réponse le même jour ouvrable.

Complétez le formulaire suivant et obtenez la réponse d’un expert le prochain jour ouvrable.
Un besoin urgent? Appelez-nous au 1-877-805-7475 ou prenez rendez-vous.
PCI-DSS

Une fois le formulaire envoyé:

  • Nous vous contactons pour connaître vos objectifs
  • Nous travaillons ensemble pour définir la portée du projet.
  • Vous obtenez une soumission tout incluse, sans engagement.

Scroll to Top