Rançongiciel : les pirates d’EsxiArgs se mettent à jour pour contrer les solutions de déchiffrement

Rançongiciel : les pirates d’EsxiArgs se mettent à jour pour contrer les solutions de déchiffrement


Second round ouvert dans la campagne par rançongiciel affectant les hyperviseurs Esxi de machines virtuelles. Baptisé EsxiArgs, une référence à l’extension .args des fichiers chiffrés, ce rançongiciel est actif depuis vendredi dernier et s’est propagé en France et dans le monde entier.

Première mauvaise nouvelle, comme l’a repéré Bleeping computer, les attaquants viennent déjà de mettre à jour leur programme, une façon de contourner les méthodes partagées pour récupérer ses données.

Chiffrement amélioré

Ce programme malveillant, qui pourrait être basé sur une version du rançongiciel Babuk, a en effet été modifié pour chiffrer davantage de données des fichiers visés. Au départ, le malware avait été configuré pour ne chiffrer qu’une partie des fichiers des victimes, une façon sans doute d’aller plus vite, mais qui laissait une grande partie des données en clair.

Selon un expert, Michael Gillepsie, cité par Bleeping computer, les fichiers de plus de 128 mégaoctets sont désormais chiffrés à plus de 50 %, ce qui les rend probablement irrécupérables. De même, ajoute le média américain, cette nouvelle façon de procéder rend caduques les méthodes de récupération de données partagées depuis une semaine.

Des chercheurs en sécurité turcs avaient en effet trouvé une parade, qui affichait un taux de réussite d’environ 60 %, selon l’entreprise de renseignement sur les menaces Intel471. L’agence de cybersécurité américaine, la CISA, avait également détaillé il y a quelques jours un script pour récupérer ses fichiers infectés, des outils aussi signalés par le CERT-FR.

Réinfections

Deuxième mauvaise nouvelle, selon l’un des experts de la CISA, la très grande majorité des nouvelles victimes du rançongiciel sont des machines virtuelles déjà infectées lors de la première vague. On peut ainsi lire des témoignages dans ce sens, alors même que le service considéré comme compromis, SLP, était pourtant désactivé. « Soit une autre vulnérabilité est utilisée, soit il restait une porte dérobée après la première attaque », s’interroge ainsi un internaute.

Dans un résumé de ses investigations au 5 février, le centre de réponse à incidents de l’Anssi estimait que les attaquants avaient tiré profit de vulnérabilités connues dans le service SLP des hyperviseurs Esxi pour réussir leurs intrusions. « Des codes d’exploitation sont disponibles en source ouverte depuis au moins mai 2021 », remarquait alors le CERT-FR. De son côté, le fabriquant d’hyperviseurs VMware avait précisé lundi ne pas avoir trouvé de preuve suggérant l’utilisation d’une faille non connue, une 0-day.

Automatisation

Selon le moteur de recherche Shodan, les trois pays les plus touchés par la campagne malveillante sont la France (avec une radio locale et une association des Alpes-Maritimes notamment), les Etats-Unis (avec une institution judiciaire et des universités), et l’Allemagne. En quelques jours, le rançongiciel aurait fait au moins 3 276 systèmes victimes, selon le centre de réponse à incidents autrichien.

La campagne remet au goût du jour les attaques par rançongiciel automatisées, après plusieurs années de « Big Game Hunting », ces attaques ciblées. Une opération malveillante dont on est loin encore de connaître la conclusion. Il resterait plusieurs dizaines de milliers de machines virtuelles vulnérables susceptibles d’être compromises.

Il est fortement recommandé aux administrateurs de réinstaller leurs hyperviseurs et d’appliquer tous les correctifs de sécurité.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.