Sophos a publié les détails d’un nouveau ransomware écrit en Python que les attaquants ont utilisé pour compromettre et chiffrer les machines virtuelles hébergées sur un hyperviseur ESXi.
«Il s’agit de l’une des attaques de ransomware les plus rapides que Sophos ait jamais étudiées et elle semble avoir ciblé avec précision la plate-forme ESXi», a déclaré Andrew Brandt, chercheur principal chez Sophos.
«Python est un langage de codage qui n’est pas couramment utilisé pour les ransomwares. Cependant, Python est préinstallé sur les systèmes basés sur Linux tels que ESXi, ce qui rend possible les attaques basées sur Python sur ces systèmes. Les serveurs ESXi représentent une cible attrayante pour les acteurs de la menace ransomware car ils peuvent attaquer plusieurs machines virtuelles à la fois, chacune d’entre elles pouvant exécuter des applications ou des services critiques pour l’entreprise. Les attaques contre les hyperviseurs peuvent être à la fois rapides et très perturbatrices. Les opérateurs de ransomware, dont DarkSide et REvil, ont ciblé les serveurs ESXi dans leurs attaques.»
L’enquête a révélé que l’attaque a commencé à 0h30 un dimanche, lorsque les opérateurs du ransomware se sont introduits dans un compte TeamViewer fonctionnant sur un ordinateur appartenant à un utilisateur qui avait également des informations d’accès d’administrateur de domaine.
Cela a permis aux attaquants d’installer un outil de communication réseau sécurisé appelé Bitvise sur la machine appartenant à l’administrateur de domaine, ce qui leur a donné un accès à distance au système ESXi, y compris les fichiers de disque virtuel utilisés par les machines virtuelles.
Vers 3 h 40, les attaquants ont déployé le ransomware et chiffré ces disques durs virtuels hébergés sur le serveur ESXi.
