blog post

Des chercheurs découvrent un ransomware qui chiffre les machines virtuelles hébergées sur un hyperviseur ESXi

Sophos a publié les détails d'un nouveau ransomware écrit en Python que les attaquants utilisaient pour compromettre et chiffrer les machines virtuelles hébergées sur un hyperviseur ESXi. Le rapport détaille une opération semblable à un tireur d'élite qui a pris moins de trois heures pour passer de la violation au cryptage.

« Il s'agit de l'une des attaques de ransomware les plus rapides jamais étudiées par Sophos et elle semble cibler avec précision la plate-forme ESXi », a déclaré Andrew Brandt , chercheur principal chez Sophos .

« Python est un langage de codage qui n'est pas couramment utilisé pour les ransomwares. Cependant, Python est pré-installé sur les systèmes basés sur Linux tels que ESXi, ce qui rend possibles les attaques basées sur Python sur ces systèmes. Les serveurs ESXi représentent une cible attrayante pour les acteurs de la menace des ransomwares, car ils peuvent attaquer plusieurs machines virtuelles à la fois, où chacune des machines virtuelles pourrait exécuter des applications ou des services critiques pour l'entreprise. Les attaques sur les hyperviseurs peuvent être à la fois rapides et très perturbatrices. Les opérateurs de ransomware, dont DarkSide et REvil, ont ciblé les serveurs ESXi lors d'attaques. »

Chronologie de l'attaque du ransomware de l'hyperviseur ESXi

L'enquête a révélé que l'attaque avait commencé à 00h30 un dimanche, lorsque les opérateurs de ransomware ont fait irruption dans un compte TeamViewer exécuté sur un ordinateur appartenant à un utilisateur qui disposait également d'informations d'identification d'accès administrateur de domaine.

Selon les enquêteurs, 10 minutes plus tard, les attaquants ont utilisé l'outil Advanced IP Scanner pour rechercher des cibles sur le réseau. Les enquêteurs pensent que le serveur ESXi sur le réseau était vulnérable car il avait un Shell actif, une interface de programmation que les équipes informatiques utilisent pour les commandes et les mises à jour. Cela a permis aux attaquants d'installer un outil de communication réseau sécurisé appelé Bitvise sur la machine appartenant à l'administrateur du domaine, ce qui leur a donné un accès à distance au système ESXi, y compris aux fichiers de disque virtuel utilisés par les machines virtuelles. Vers 3h40 du matin, les attaquants ont déployé le ransomware et chiffré ces disques durs virtuels hébergés sur le serveur ESXi.

Conseil de sécurité

« Les administrateurs qui exploitent ESXi ou d'autres hyperviseurs sur leurs réseaux doivent suivre les meilleures pratiques de sécurité. Cela inclut l'utilisation de mots de passe uniques et difficiles à forcer et l'application de l'authentification multifacteur dans la mesure du possible », a déclaré Brandt.

« L'ESXi Shell peut et doit être désactivé chaque fois qu'il n'est pas utilisé par le personnel pour la maintenance de routine, par exemple, lors de l'installation de correctifs. L'équipe informatique peut le faire soit en utilisant des commandes sur la console du serveur, soit via les outils de gestion de logiciels fournis par le fournisseur.

Les meilleures pratiques standard suivantes sont recommandées pour vous aider à vous défendre contre les ransomwares et les cyberattaques associées.

A un niveau stratégique

Déployez une protection en couches . Alors que de plus en plus d'attaques de ransomware commencent à impliquer l'extorsion, les sauvegardes restent nécessaires, mais insuffisantes. Il est plus important que jamais d'écarter les adversaires ou de les détecter rapidement, avant qu'ils ne causent des dommages. Utilisez une protection en couches pour bloquer et détecter les attaquants à autant de points que possible dans un domaine.

Combinez des experts humains et une technologie anti-ransomware . La clé pour arrêter les ransomwares est une défense en profondeur qui combine une technologie anti-ransomware dédiée et une chasse aux menaces dirigée par l'homme. La technologie fournit l'échelle et l'automatisation dont une organisation a besoin, tandis que les experts humains sont les mieux placés pour détecter les tactiques, les techniques et les procédures révélatrices qui indiquent qu'un attaquant tente de pénétrer dans l'environnement. Si les organisations n'ont pas les compétences en interne, elles peuvent faire appel à des spécialistes de la cybersécurité.

Au niveau tactique au quotidien

Surveillez et répondez aux alertes . Assurez-vous que les outils, processus et ressources (personnes) appropriés sont disponibles pour surveiller, enquêter et répondre aux menaces observées dans l'environnement. Les attaquants de ransomware planifient souvent leur grève pendant les heures creuses, le week-end ou pendant les vacances, en supposant que peu ou pas de personnel les regarde.

Définissez et appliquez des mots de passe forts . Les mots de passe forts constituent l'une des premières lignes de défense. Les mots de passe doivent être uniques ou complexes et ne jamais être réutilisés. Ceci est plus facile à réaliser avec un gestionnaire de mots de passe qui peut stocker les informations d'identification du personnel.

Utilisez l'authentification multifacteur (MFA) . Même les mots de passe forts peuvent être compromis. N'importe quelle forme d’authentification multifacteur est meilleure qu'aucune pour sécuriser l'accès aux ressources critiques telles que la messagerie électronique, les outils de gestion à distance et les actifs réseau.

Verrouillez les services accessibles. Effectuez des analyses de réseau depuis l'extérieur et identifiez et verrouillez les ports couramment utilisés par VNC, RDP ou d'autres outils d'accès à distance. Si une machine doit être accessible à l'aide d'un outil de gestion à distance, placez cet outil derrière un VPN ou une solution d'accès réseau de confiance zéro qui utilise MFA dans le cadre de sa connexion.

Pratiquez la segmentation et le zéro trust. Séparez les serveurs critiques les uns des autres et des postes de travail en les plaçant dans des VLAN distincts pendant que vous travaillez vers un modèle de réseau zéro trust.

Effectuez des sauvegardes hors ligne des informations et des applications. Gardez les sauvegardes à jour, assurez-vous de leur capacité de récupération et conservez une copie hors ligne.

Faites l'inventaire de vos actifs et de vos comptes. Les appareils inconnus, non protégés et non corrigés du réseau augmentent les risques et créent une situation où des activités malveillantes pourraient passer inaperçues. Il est essentiel de disposer

 

Source: https://www.helpnetsecurity.com/2021/10/07/esxi-hypervisor-ransomware/