Des chercheurs découvrent un ransomware qui chiffre les machines virtuelles hébergées sur un hyperviseur ESXi

Sophos a publié les détails d’un nouveau ransomware écrit en Python que les attaquants ont utilisé pour compromettre et chiffrer les machines virtuelles hébergées sur un hyperviseur ESXi.

« Il s’agit de l’une des attaques de ransomware les plus rapides que Sophos ait jamais étudiées et elle semble avoir ciblé avec précision la plate-forme ESXi », a déclaré Andrew Brandt, chercheur principal chez Sophos.

« Python est un langage de codage qui n’est pas couramment utilisé pour les ransomwares. Cependant, Python est préinstallé sur les systèmes basés sur Linux tels que ESXi, ce qui rend possible les attaques basées sur Python sur ces systèmes. Les serveurs ESXi représentent une cible attrayante pour les acteurs de la menace ransomware car ils peuvent attaquer plusieurs machines virtuelles à la fois, chacune d’entre elles pouvant exécuter des applications ou des services critiques pour l’entreprise. Les attaques contre les hyperviseurs peuvent être à la fois rapides et très perturbatrices. Les opérateurs de ransomware, dont DarkSide et REvil, ont ciblé les serveurs ESXi dans leurs attaques. »

L’enquête a révélé que l’attaque a commencé à 0h30 un dimanche, lorsque les opérateurs du ransomware se sont introduits dans un compte TeamViewer fonctionnant sur un ordinateur appartenant à un utilisateur qui avait également des informations d’accès d’administrateur de domaine.

Cela a permis aux attaquants d’installer un outil de communication réseau sécurisé appelé Bitvise sur la machine appartenant à l’administrateur de domaine, ce qui leur a donné un accès à distance au système ESXi, y compris les fichiers de disque virtuel utilisés par les machines virtuelles.

Vers 3 h 40, les attaquants ont déployé le ransomware et chiffré ces disques durs virtuels hébergés sur le serveur ESXi.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.