Nouveau Ransomware-as-a-Service "MichaelKors" cible les systèmes Linux et VMware ESXi

Un nouveau ransomware-as-service (RaaS) appelé MichaelKors est le dernier logiciel malveillant de chiffrement de fichiers à cibler les systèmes Linux et VMware ESXi depuis Avril 2023.

Cette évolution montre que les acteurs cybercriminels s'intéressent de plus en plus à ESXi, a déclaré la société de cybersécurité CrowdStrike dans un rapport.

"Cette tendance est d'autant plus remarquable que l'ESXi, de par sa conception, ne prend pas en charge les agents tiers ou les logiciels antivirus", explique l'entreprise.

"En fait, VMware va jusqu'à affirmer que ce n'est pas nécessaire. Ceci, combiné à la popularité d'ESXi en tant que système de virtualisation et de gestion répandu et populaire, fait de l'hyperviseur une cible très attrayante pour les adversaires modernes".

Le ciblage des hyperviseurs VMware ESXi par des ransomwares afin d'intensifier ces campagnes est une technique connue sous le nom de "hypervisor jackpotting" (cagnotte de l'hyperviseur). Au fil des ans, cette approche a été adoptée par plusieurs groupes de ransomware, dont Royal. De plus, une analyse de SentinelOne a révélé la semaine dernière que 10 familles de ransomwares différentes, dont Conti et REvil, ont utilisé le code source de Babuk qui a fait l'objet d'une fuite en septembre 2021 pour développer des verrous pour les hyperviseurs VMware ESXi. D'autres groupes de cybercriminels notables ont mis à jour leur arsenal pour cibler ESXi : ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Nevada, Play, Rook et Rorschach.

Si les hyperviseurs VMware ESXi deviennent une cible attrayante, c'est en partie parce que le logiciel s'exécute directement sur un serveur physique, ce qui permet à un attaquant potentiel d'exécuter des binaires ELF malveillants et d'obtenir un accès illimité aux ressources sous-jacentes de la machine.

Les attaquants qui cherchent à pénétrer dans les hyperviseurs ESXi peuvent le faire en utilisant des informations d'identification compromises, puis en obtenant des privilèges élevés et en se déplaçant latéralement dans le réseau ou en s'échappant des limites de l'environnement par le biais de failles connues afin de faire avancer leurs objectifs.

VMware, dans un article mis à jour en septembre 2020, note que "les logiciels antivirus ne sont pas requis avec l'hyperviseur vSphere et leur utilisation n'est pas prise en charge".

"De plus en plus d'acteurs de la menace reconnaissent que le manque d'outils de sécurité, l'absence de segmentation adéquate du réseau des interfaces ESXi et les vulnérabilités [à l'état sauvage] d'ESXi créent un environnement riche en cibles", a déclaré CrowdStrike.

Les acteurs du ransomware ne sont pas les seuls à s'attaquer aux infrastructures virtuelles. En mars 2023, Mandiant, propriété de Google, a attribué à un groupe d'État-nation chinois l'utilisation de nouvelles portes dérobées baptisées VIRTUALPITA et VIRTUALPIE dans des attaques visant les serveurs ESXi de VMware.

Pour atténuer l'impact de l'attaque de l'hyperviseur, il est recommandé aux entreprises les mesures suivantes : 

  • éviter l'accès direct aux hôtes ESXi, 
  • activer l'authentification à deux facteurs, 
  • effectuer des sauvegardes périodiques des volumes de stockage de données ESXi, 
  • appliquer les mises à jour de sécurité 
  • procéder à des audits de sécurité


Source : The Hackers News