Accueil Cyber Sécurité Une attaque de ransomware cible les serveurs VMware ESXi

Une attaque de ransomware cible les serveurs VMware ESXi

239
0

Les serveurs du monde entier ont subi une vaste attaque de ciblée, la plus grande cyberattaque de ransomware non-windows jamais enregistrée.

Les Français Équipe d'intervention en cas d'urgence informatique et L'autorité nationale de cybersécurité de l'Italie (ACN) a officiellement mis en garde les organisations du monde entier contre une attaque de ransomware ciblant des milliers de fournisseurs de services multiclouds. VMware Les serveurs ESXI, exploitant une vulnérabilité connue qui a été corrigée pour la première fois en février 2021 (CVE-2021-21974).

Que s'est-il passé ?

Comme les serveurs VMWare fournissent des services à des milliers d'autres serveurs, qu'ils stockent, l'impact semble être répandu dans le monde entier, touchant des organisations en France, en Finlande, en Italie, au Canada et aux États-Unis. VMware a décrit la faiblesse comme une vulnérabilité de dépassement de tas OpenSLP qui pourrait conduire à l'exécution de code arbitraire.

Qui est affecté ?

Tous ceux qui utilisent des machines ESXi non corrigées (CVE-2021-21974), exposées à Internet avec le port 427. CVE-2021-21974 affecte les systèmes suivants :

  • ESXi versions 7.x antérieures à ESXi70U1c-17325551
  • ESXi versions 6.7.x avant ESXi670-202102401-SG
  • ESXi versions 6.5.x avant ESXi650-202102101-SG

Utilisation d'une requête spécifique sur la plate-forme d'analyse Internet Censys, les chercheurs de Check Point rapporte qu'il y a déjà plus de 1 900 appareils ESXi infectés, et que la plupart des victimes proviennent des fournisseurs de services OVH et Hetzner.

OVH propose des machines bare metal avec l'option d'y installer ESXi. Dans de nombreux cas, les clients les exposent ensuite à Internet et ne les corrigent jamais. Le 3 février, OVH a publié un blog disant qu'ils ont fermé le port 427 pour leurs clients, afin d'atténuer la menace.

Que savons-nous ?

Check Point affirme qu'il s'agit de la plus grande attaque de ransomware non-Windows jamais enregistrée. Cette attaque massive sur les serveurs ESXi est considérée comme l'une des cyberattaques de ransomware les plus importantes jamais signalées sur des machines non-Windows. Ce qui rend la situation encore plus inquiétante, c'est le fait que jusqu'à récemment, les attaques de ransomware étaient davantage axées sur les machines Windows.

Les acteurs de la menace ransomware ont réalisé à quel point les serveurs Linux sont cruciaux pour les systèmes des institutions et des organisations. Cela les a certainement incités à investir dans le développement d'une cyberarme aussi puissante et à rendre les ransomwares aussi sophistiqués.

Selon l'analyse de Check Point, le risque de cette attaque par ransomware ne se limite pas seulement aux fournisseurs de services spécifiquement ciblés.

Les cybercriminels ont exploité CVE-2021-21974, une faille déjà signalée en février 2021. Mais ce qui peut rendre l'impact encore plus dévastateur, c'est l'utilisation de ces serveurs, sur lesquels fonctionnent généralement d'autres serveurs virtuels. Ainsi, les dommages sont probablement très étendus, plus que ce qui avait été initialement signalé.

Lire aussi :  Ransomware : Guide de sécurité

L'évolution des ransomwares

Au début, les attaques de ransomware étaient menées par des entités uniques qui développaient et distribuaient des nombres massifs de charges utiles automatisées à des victimes choisies au hasard, percevant de petites sommes à chaque attaque “réussie”. Avance rapide jusqu'en 2023 et ces attaques ont évolué pour devenir des processus essentiellement humains, menés par de multiples entités sur plusieurs semaines. Les attaquants sélectionnent soigneusement leurs victimes en fonction d'un profil souhaité et mettent en place une série de mesures de pression pour extorquer d'importantes sommes d'argent. Les menaces d'exposition de données sensibles se sont avérées très efficaces.

Impact des attaques par ransomware sur les entreprises en 2022.

Le logiciel ThreatCloud de Check Point fournit des renseignements en temps réel sur les menaces, dérivés de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. D'après leurs données, à l'échelle mondiale, au moins 1 organisation sur 13 a subi une tentative d'attaque par Ransomware l'année dernière.

  • Dans la région APAC – 1 organisation sur 11
  • Dans la région EMEA – 1 sur 12 organisations
  • Dans les Amériques – 1 sur 19 organisations

L'analyse des indications initiales de la menace indique que près de 50 % des enquêtes concernent des infections par ransomware et que les risques les plus importants sont les attaques par ransomware à grande échelle et les compromissions complètes du réseau.

Mesures d'atténuation

VMware a publié des solutions de contournement pour aider les propriétaires de serveurs à atténuer le risque. de l'exploitation de la CVE. OVHcloud a fourni des recommandations, y compris des mesures d'urgence, aux clients utilisant ESXi.

Prévenir les attaques de ransomware

Des correctifs à jour : Maintenir les ordinateurs et les serveurs à jour et appliquer les correctifs de sécurité, en particulier ceux étiquetés comme critiques, peut aider à limiter la vulnérabilité d'une organisation aux attaques de ransomware.

Garde tes logiciels à jour : Les attaquants de ransomware trouvent parfois un point d'entrée dans tes apps et tes logiciels, en notant les vulnérabilités et en les exploitant. De nombreux développeurs recherchent de nouvelles vulnérabilités et les corrigent. Check Point recommande aux utilisateurs de mettre en place une stratégie de gestion des correctifs et de s'assurer que tous les membres de l'équipe sont à jour avec les dernières versions.

Choisis la prévention plutôt que la détection : Beaucoup prétendent que les attaques se produiront, qu'il n'y a aucun moyen de les éviter et que, par conséquent, la seule chose qui reste à faire est d'investir dans des technologies qui détectent l'attaque une fois qu'elle a déjà pénétré dans le réseau et d'atténuer les dommages le plus rapidement possible. Ce n'est pas vrai.

Lire aussi :  Protection permanente grâce au stockage immuable

Il est non seulement possible de bloquer les attaques, mais aussi de les prévenir, y compris les attaques zero-day et les logiciels malveillants inconnus. Avec les bonnes technologies en place, la plupart des attaques, même les plus avancées, peuvent être évitées sans perturber le flux normal des activités.

Sauvegarde robuste des données : L'objectif du ransomware est de forcer la victime à payer une rançon pour retrouver l'accès à ses données cryptées. Cependant, cela n'est efficace que si la cible perd l'accès à ses données. Une solution de sauvegarde des données robuste et sécurisée est un moyen efficace d'atténuer l'impact d'une attaque de ransomware. Si les systèmes sont sauvegardés régulièrement, les données perdues suite à une attaque de ransomware devraient être minimes, voire inexistantes. Cependant, il est important de s'assurer que la solution de sauvegarde des données ne peut pas non plus être chiffrée. Les données doivent être stockées dans un format en lecture seule pour empêcher la propagation du ransomware aux lecteurs contenant les données de récupération.

Solutions anti-ransomware : Si les étapes précédentes de prévention des ransomwares peuvent contribuer à atténuer l'exposition d'une organisation aux menaces de ransomwares, elles ne fournissent pas une protection parfaite. Certains opérateurs de ransomware utilisent des emails de spear phishing bien étudiés et très ciblés comme vecteur d'attaque. Ces courriels peuvent tromper même l'employé le plus diligent, ce qui permet aux ransomwares d'accéder aux systèmes internes d'une organisation.

Conclusion

Se protéger contre ce ransomware qui “passe à travers les mailles du filet” nécessite une solution de sécurité spécialisée. Pour atteindre son objectif, le ransomware doit effectuer certaines actions anormales, comme ouvrir et crypter un grand nombre de fichiers.

Les solutions anti-ransomware surveillent les programmes en cours d'exécution sur un ordinateur pour détecter les comportements suspects couramment présentés par les ransomwares, et si ces comportements sont détectés, le programme peut prendre des mesures pour arrêter le chiffrement avant que d'autres dommages ne puissent être causés.

Tu pourrais aussi lire :

Rendre les logiciels open source plus sûrs:

___________________________________________________________________________________________

Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports détaillés sur les directeurs, en t'inscrivant à l'abonnement. Abonnement Premium.

  • Individuel 5 £ par mois ou 50 £ par an. S'inscrire
  • Multi-utilisateur, entreprise &amp ; Comptes de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé, organisé & accessible


” La sécurité L&D est la clé pour rester innovant en pleine récession
Article précédentNouvelles de l’IdO – Perspectives de l’IdO
Article suivantLes PME prennent la cybersécurité au sérieux