Les cybercriminels exploitent activement une vulnérabilité VMware vieille de deux ans dans le cadre d’une campagne de rançongiciel ciblant des milliers d’organisations dans le monde.
Des rapports ont émergé au cours du week-end selon lesquels les serveurs VMware ESXi laissés vulnérables et non corrigés contre un bogue exploitable à distance de 2021 ont été compromis et brouillés par une variante de rançongiciel appelée « ESXiArgs ». ESXi est l’hyperviseur de VMware, une technologie qui permet aux organisations d’héberger plusieurs ordinateurs virtualisés exécutant plusieurs systèmes d’exploitation sur un seul serveur physique.
L’équipe française d’intervention d’urgence informatique CERT-FR rapporte que les cybercriminels ciblent les serveurs VMware ESXi depuis le 3 février, tandis que l’agence nationale italienne de cybersécurité ACN a mis en garde dimanche contre une campagne de ransomware à grande échelle ciblant des milliers de serveurs en Europe et en Amérique du Nord.
Les responsables américains de la cybersécurité ont également confirmé qu’ils enquêtaient sur la campagne ESXiArgs. « La CISA travaille avec nos partenaires des secteurs public et privé pour évaluer les impacts de ces incidents signalés et fournir une assistance si nécessaire », a déclaré un porte-parole de la CISA à TechCrunch. « Toute organisation confrontée à un incident de cybersécurité doit immédiatement le signaler à la CISA ou au FBI. »
Les responsables italiens de la cybersécurité ont averti que la faille ESXi pourrait être exploitée par des acteurs de la menace non authentifiés dans des attaques de faible complexité, qui ne reposent pas sur l’utilisation de mots de passe ou de secrets d’employés, selon l’agence de presse italienne ANSA. La campagne de rançongiciels cause déjà des dommages « importants » en raison du nombre de machines non corrigées, a rapporté la presse locale.
Plus de 3 200 serveurs VMware dans le monde ont été compromis par la campagne de rançongiciel ESXiArgs jusqu’à présent, selon une recherche Censys (via Bleeping Computer). La France est le pays le plus touché, suivi des États-Unis, de l’Allemagne, du Canada et du Royaume-Uni.
On ne sait pas qui est derrière la campagne de ransomware. Le fournisseur français de cloud computing OVHCloud est revenu sur ses conclusions initiales suggérant un lien avec la variante du rançongiciel du Nevada.
Une copie de la prétendue note de rançon, partagée par le fournisseur de renseignements sur les menaces DarkFeed, montre que les pirates à l’origine de l’attaque ont adopté une technique de « triple extorsion », dans laquelle les attaquants menacent d’informer les clients des victimes de la violation de données. Les attaquants inconnus exigent 2,06 bitcoins – environ 19 000 $ en paiements de rançon – chaque note affichant une adresse de portefeuille bitcoin différente.
Dans une déclaration donnée à TechCrunch, la porte-parole de VMware, Doreen Ruyak, a déclaré que la société était au courant des rapports selon lesquels une variante de ransomware baptisée ESXiArgs « semble exploiter la vulnérabilité identifiée comme CVE-2021-21974 » et a déclaré que des correctifs pour la vulnérabilité « étaient mis à disposition aux clients il y a deux ans dans l’avis de sécurité de VMware du 23 février 2021. »
« L’hygiène de la sécurité est un élément clé de la prévention des attaques de ransomwares, et les organisations qui exécutent des versions d’ESXi impactées par CVE-2021-21974 et qui n’ont pas encore appliqué le correctif doivent prendre les mesures indiquées dans l’avis », a ajouté le porte-parole.
Mis à jour avec le commentaire de CISA.