Une nouvelle souche de ransomware menace les utilisateurs des serveurs VMware ESXi. Les informations communiquées par Trend Micro indiquent qu’elle parvient aux données avec un accès privilégié. La méthode utilisée n’est pas clairement comprise par les experts pour l’instant. Les structures ayant recours aux serveurs visés doivent toutefois faire preuve de prudence au vu des risques encourus.
Les hyperviseurs VMware ESXi font dernièrement partie des principales cibles des cybercriminels. Les utilisateurs sont appelés à rester vigilants en conséquence. Il est important de surveiller ses infrastructures informatiques, en faisant par exemple appel à un Freelance IT. La dernière menace identifiée provient d’un programme appelé Cheerscrypt. Les auteurs agissent avec une méthode devenue classique, la double extorsion. Ils obligent ainsi les propriétaires à payer la rançon autrement ils perdent le contrôle sur leurs données. À ce jour, les experts ignorent les techniques qu’ils utilisent pour accéder aux données du serveur. Ils savent néanmoins que leur fonctionnement s’appuie sur l’élévation de privilèges.
Quatre victimes identifiées
Les serveurs VMware ESXi partie des hyperviseurs les plus ciblés par les attaques informatiques. Ils connaissent du succès auprès les grandes entreprises autant que chez les PME. Grâce à leur popularité, les cybercriminels ont l’assurance d’y trouver des données. Ils visent notamment celles appartenant à des structures d’envergure.
Ces serveurs sont aussi choisis pour leur fonctionnement. En s’attaquant à ces hyperviseurs, les pirates informatiques ont accès à un nombre incalculable de machines virtuelles. Il leur suffit de toucher un seul système physique pour en atteindre plusieurs. L’intérêt porté à leur égard a conduit à la création de nombreux ransomwares qui peuvent les intégrer. Hive et LockBit en sont des exemples.
Il existe des logiciels qui permettent de repérer et d’interrompre les attaques provenant de ces programmes malveillants. Arrêter leurs activités à temps permet de limiter les dommages causés sur les dossiers et fichiers infectés. Il faut toutefois l’aide d’un expert en informatique. L’entreprise peut faire appel à un freelance pour prendre en charge le travail. Les consultants informatiques opérant sous ce statut sont devenus nombreux, ils sont séduits par les avantages qu’il offre.
En fait partie la possibilité de fixer ses horaires librement suivant ses responsabilités et ses disponibilités. Un consultant freelance peut ainsi travailler à temps plein, à mi-temps, prendre des missions ponctuelles ou faire du télétravail. Il peut par ailleurs négocier sa rémunération directement avec le donneur d’ordre et le définir selon le montant qu’il estime juste.
Selon la plateforme Bleeping Computer, on compte actuellement quatre victimes du programme Cheerscrypt dont un établissement hospitalier en Belgique. Le site, lui, serait en activité depuis mars 2022. Selon les informations communiquées, les attaques sont portées directement sur les fichiers. Elles touchent notamment les extensions .log, .vswp, .vmsn, vmdk et .vmem.
Toutes les machines virtuelles du serveur impactées
Les fichiers investis portent ensuite l’extension .cheers. L’utilisateur découvrira aussi la note de rançon à l’intérieur du dossier infecté portant l’intitulé « Comment restaurer vos fichiers.txt ». Les cybercriminels demandent aux victimes de leur verser un montant déterminé pour obtenir la clé de déchiffrement. La note est accompagnée d’une adresse pour communiquer avec les auteurs de l’attaque. Ils accordent un délai de trois jours et augmenteraient le montant s’il est dépassé. Ils menacent aussi de revendre les données sur le marché noir en cas de refus de paiement. Sans acheteur, elles sont diffusées en ligne.
Ce type de méthode, appelé double torsion, devient fréquent ces dernières années. Le nom s’explique par les opérations effectuées qui permettent de disposer des données au lieu de simplement les chiffrer. Pour l’heure, les experts ignorent les techniques utilisées par les pirates informatiques. On sait cependant qu’ils s’appuient sur un système d’élévation de privilèges pour réaliser les commandes à distance.
Le moyen qui leur permet d’avoir un accès privilège au shell reste méconnu. Il leur donne pourtant la possibilité d’interrompre l’activité de l’ensemble des machines virtuelles qui s’exécutent sur le serveur. C’est alors qu’il commence le chiffrement des fichiers.
Faire appel à un expert informatique pour évaluer l’ampleur des dommages après une attaque informatique s’avère utile. Il sera en mesure d’entreprendre les actions correctrices nécessaires.
