Des chercheurs découvrent un ransomware qui chiffre les machines virtuelles hébergées sur un hyperviseur ESXi

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Sophos a publié les détails d’un nouveau ransomware écrit en Python que les attaquants ont utilisé pour compromettre et chiffrer les machines virtuelles hébergées sur un hyperviseur ESXi.

« Il s’agit de l’une des attaques de ransomware les plus rapides que Sophos ait jamais étudiées et elle semble avoir ciblé avec précision la plate-forme ESXi », a déclaré Andrew Brandt, chercheur principal chez Sophos.

« Python est un langage de codage qui n’est pas couramment utilisé pour les ransomwares. Cependant, Python est préinstallé sur les systèmes basés sur Linux tels que ESXi, ce qui rend possible les attaques basées sur Python sur ces systèmes. Les serveurs ESXi représentent une cible attrayante pour les acteurs de la menace ransomware car ils peuvent attaquer plusieurs machines virtuelles à la fois, chacune d’entre elles pouvant exécuter des applications ou des services critiques pour l’entreprise. Les attaques contre les hyperviseurs peuvent être à la fois rapides et très perturbatrices. Les opérateurs de ransomware, dont DarkSide et REvil, ont ciblé les serveurs ESXi dans leurs attaques. »

L’enquête a révélé que l’attaque a commencé à 0h30 un dimanche, lorsque les opérateurs du ransomware se sont introduits dans un compte TeamViewer fonctionnant sur un ordinateur appartenant à un utilisateur qui avait également des informations d’accès d’administrateur de domaine.

Cela a permis aux attaquants d’installer un outil de communication réseau sécurisé appelé Bitvise sur la machine appartenant à l’administrateur de domaine, ce qui leur a donné un accès à distance au système ESXi, y compris les fichiers de disque virtuel utilisés par les machines virtuelles.

Vers 3 h 40, les attaquants ont déployé le ransomware et chiffré ces disques durs virtuels hébergés sur le serveur ESXi.

Restez à l'Affût des Cybermenaces !

Abonnez-vous à notre bulletin mensuel pour rester au fait des principaux risques de cybersécurité.

Suivez-nous sur les Réseaux Sociaux:

Récentes Nouvelles Concernant la Cybersécurité

Le bogue de sécurité de Cisco SD-WAN permet l’exécution d’un code racine

Les implémentations SD-WAN de Cisco sont vulnérables à une vulnérabilité d'escalade de privilèges...
Lire l'Article

Microsoft Teams ajoute le cryptage de bout en bout pour les appels individuels

Microsoft a annoncé le lancement de l'aperçu public de la prise en charge...
Lire l'Article

Publié : MITRE ATT&CK v10

MITRE Corporation a publié la dixième version d'ATT&CK, sa base de connaissances accessible...
Lire l'Article

Contactez un Spécialiste

Découvrez pourquoi plus de 1,000 organisations font confiance à notre expertise pour prévenir les cyber incidents.

Restez Informés Sur Les Cyber Risques!

Abonnez-vous au bulletin mensuel de Vumetric pour vous tenir au courant des dernières nouvelles du secteur de la cybersécurité.

This site is registered on wpml.org as a development site.