Dans la vague de ransomwares, qui, selon le BSI, affecte des milliers de serveurs dans le monde, y compris un nombre moyen d'entreprises allemandes à trois chiffres, les attaquants ciblent des fermes de serveurs - les serveurs ESXi - et donc le cœur de chaque informatique. paysage. Les serveurs VMware ESXi obsolètes et non corrigés qui fonctionnent toujours avec la vulnérabilité de février 2021 ont été spécifiquement attaqués.
Selon le BSI - Office fédéral de la sécurité de l'information, des milliers de serveurs exécutant la solution de virtualisation ESXi de VMware ont été infectés par des ransomwares et beaucoup ont également été chiffrés lors d'une attaque mondiale généralisée. L'accent régional des attaques sur les serveurs VMware ESXi était sur la France, les États-Unis, l'Allemagne et le Canada - d'autres pays sont également touchés. Les auteurs ont profité d'une vulnérabilité connue de longue date. La vulnérabilité elle-même – qui est répertoriée comme CVE-2021-21974 et selon CVSS avec une sévérité de 8.8 comme "élevée" - il y a un patch du fabricant depuis février 2021.
Voici ce que dit Trend Micro à propos de l'attaque du serveur ESXi
🔎 Trend Micro : Richard Werner, consultant commercial (Image : Trend Micro).
«Nous constatons à maintes reprises que les entreprises ne sont pas préparées à de tels problèmes de tiers. Il existe un processus de correctif régulier pour Microsoft, mais pas pour les fabricants tiers, tels que VMware dans ce cas. Parce que le nombre de correctifs ne justifie pas la création d'un processus distinct pour celui-ci. De plus, les entreprises ne se contentent pas d'arrêter leur batterie de serveurs pour installer un seul correctif. Les attaquants sont conscients des difficultés rencontrées par leurs victimes et exploitent donc souvent des vulnérabilités qui ne reposent pas sur la technologie Microsoft.
Vulnérabilité ESXi déjà signalée à VMware en octobre 2020
En fait, seulement 30 % environ des vulnérabilités utilisées par les attaquants reposent sur des logiciels du géant de la technologie. Il n'est pas rare que des pirates exploitent activement des vulnérabilités logicielles non corrigées. Selon une étude de Trend Micro, environ 86 % de toutes les entreprises dans le monde présentent de telles lacunes. L'initiative Zero Day de Trend Micro a signalé la vulnérabilité, identifiée comme CVE-2021-21974 et classée "élevée" par CVSS avec une gravité de 8.8, à VMware en octobre 2020, puis a publié conjointement une divulgation responsable de la vulnérabilité (divulgation responsable) ", déclare Richard Werner, consultant commercial chez Trend Micro.
Voici ce que dit Check Point à propos de l'attaque du serveur ESXi
"Les pannes qui se sont produites ces derniers jours peuvent être précisément attribuées à cette attaque de ransomware, qui constitue une menace croissante non seulement dans des pays européens comme la France et l'Italie, mais dans le monde entier. En juillet de l'année dernière, ThreatCloud de Check Point Research a signalé une augmentation de 59 % d'une année sur l'autre des ransomwares dans le monde. Avec cette augmentation et l'attaque signalée hier, il convient de rappeler que la prévention des cybermenaces doit être une priorité absolue pour les entreprises et les organisations.
Même les machines non Windows sont désormais menacées
Cette attaque massive contre les serveurs ESXi est également considérée comme l'une des plus grandes cyberattaques jamais signalées sur des machines non Windows. Ce qui rend la situation encore plus inquiétante, c'est le fait que jusqu'à récemment, les attaques de ransomwares étaient limitées aux machines Windows. Les attaquants ont reconnu l'importance des serveurs Linux pour les systèmes des institutions et des organisations », déclare Lothar Geuenich, VP Central Europe / DACH chez Technologies logicielles Check Point.
C'est ce que dit Barracuda à propos de l'attaque du serveur ESXi
🔎 Barracuda Networks : Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security (Image : Barracuda Networks).
« Les attaques de rançongiciels généralisées signalées sur les systèmes VMware ESXi non corrigés en Europe et ailleurs semblent avoir exploité une vulnérabilité qui a été corrigée en 2021. Cela montre à quel point il est important de mettre à jour les systèmes d'infrastructure logicielle critiques en temps opportun. Il n'est pas toujours facile pour les entreprises de mettre à jour leurs logiciels. Dans le cas de ce patch, par exemple, les entreprises doivent désactiver temporairement des parties importantes de leur infrastructure informatique. Mais il vaut bien mieux supporter cela que d'être touché par une attaque potentiellement malveillante.
Les organisations utilisant ESXi doivent immédiatement effectuer la mise à jour vers la dernière version
La sécurisation de l'infrastructure virtuelle est essentielle. Les machines virtuelles peuvent être une cible attrayante pour les ransomwares car elles exécutent souvent des services ou des fonctions sensibles pour l'entreprise - et une attaque réussie pourrait provoquer des perturbations généralisées. Il est particulièrement important de s'assurer que l'accès à la console de gestion d'une machine virtuelle est protégé et ne peut pas, par exemple, être simplement accessible via un compte compromis sur le réseau de l'entreprise », a déclaré Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security chez Barracuda Networks.
Voici ce que dit Artic Wolf à propos de l'attaque du serveur ESXi
Malgré les rapports indiquant que les attaques de ransomwares réussies sont en baisse, l'attaque mondiale contre les serveurs en Europe et en Amérique du Nord montre que les ransomwares constituent toujours une menace réelle pour les entreprises et les organisations du monde entier. En exploitant une vulnérabilité dans VMWare, les criminels ont pu attaquer un fournisseur majeur qui approvisionne plusieurs industries et même des pays. Il est donc prudent de supposer que l'attaque continuera de causer des perturbations généralisées à des milliers de personnes pendant un certain temps encore.
Les entreprises doivent constamment revoir leur posture de sécurité actuelle
« Au premier semestre 2022, plus de la moitié de tous les incidents de sécurité ont été causés par l'exploitation de vulnérabilités externes. Une tendance qui peut être observée : les acteurs de la menace ciblent de plus en plus les organisations de toutes tailles, notamment via des vulnérabilités connues. Par conséquent, il est plus important que jamais pour les organisations de bien maîtriser les fondamentaux de la cybersécurité, par ex. B. grâce à des correctifs constants et réguliers.
Cela signifie travailler avec des experts pour identifier la bonne technologie, former les employés à la bonne application et revoir constamment la situation actuelle en matière de sécurité. De cette façon, ils peuvent s'assurer qu'ils sont dans la meilleure position possible pour réagir aux nouvelles menaces et se protéger de la meilleure façon possible. De plus, en cas de panne de certains systèmes, des plans d'urgence sont essentiels pour permettre aux organisations de continuer à fonctionner », a déclaré Dan Schiappa, directeur des produits chez Loup arctique.
C'est ce que dit Tehtris à propos de l'attaque du serveur ESXi
TEHTRIS a publié une analyse de l'attaque du rançongiciel ESXiArgs qui s'est fait connaître au cours du week-end. Les experts en sécurité sont arrivés à la conclusion que les attaques avaient été précédées d'un certain nombre d'activités avant que l'attaque proprement dite n'ait eu lieu. Pour leur enquête, les chercheurs en sécurité ont analysé les activités liées au port 427 en particulier, qui revêt une grande importance dans les attaques actuelles.
Ransomware ESXiArgs : les attaques ne se sont pas produites seulement depuis le week-end
🔎 Activités enregistrées par Tehtris autour du port 427 sur les serveurs ESXi (Image : Tehtris).
La cyber-campagne ESXiArgs tire son nom du fait qu'elle crée un fichier .args pour chaque document chiffré. Grâce à son réseau mondial de pots de miel, Tehtris a pu déterminer que l'attaque connue au cours du week-end n'avait pas commencé il y a quelques jours. La chronologie ci-dessous, basée sur les données de Tehtris depuis le 1er janvier 2023, montre qu'il y a eu un pic d'attaques sur le port 10 dès les 24 et 427 janvier. Ces activités ont ensuite repris début février.
Certaines des adresses IP malveillantes que Tehtris surveille dans ce contexte dans son réseau de pots de miel ont tenté de rester sous le radar avant le 3 février. Alors qu'ils étaient très discrets en ne faisant qu'un seul appel, ils ont atteint un grand nombre de pots de miel. L'examen du panel mondial de pots de miel montre que la plupart des attaques entrantes sur le port 427 ciblent la partie orientale des États-Unis, la partie nord-est de l'Asie-Pacifique et l'Europe occidentale, et pratiquement au même niveau. Des résultats d'enquête supplémentaires, y compris une analyse des adresses IP à l'origine des attaques, peuvent être trouvés dans le dernier article de blog de Tehtris.