Eh bien, cela n’a pas pris longtemps.
Le script qui a permis aux propriétaires de serveurs VMware ESXi d’être infectés par un ransomware (s’ouvre dans un nouvel onglet) pour restaurer les fichiers ne fonctionne plus, car les attaquants ont mis à jour le chiffreur et corrigé la faille qu’il avait. Désormais, ceux qui n’ont pas de protection des terminaux ne pourront probablement pas restaurer les fichiers sans obtenir la clé de déchiffrement des acteurs de la menace.
La nouvelle a été confirmée par BipOrdinateur (s’ouvre dans un nouvel onglet)dont les chercheurs ont analysé des échantillons fraîchement obtenus du chiffreur.
Abuser d’un vieux défaut
À la fin de la semaine dernière, les agences nationales de cybersécurité de quelques pays européens, ainsi que celles des États-Unis et du Canada, ont mis en garde contre une attaque généralisée et semi-automatisée contre les serveurs ESXi de VMware. Les attaquants ont trouvé plus de 3 000 points de terminaison (au moment de la publication) qui étaient vulnérables à une faille corrigée par VMware il y a deux ans, et ont utilisé cette faille pour déployer le rançongiciel ESXiArgs.
Les serveurs attaqués se trouvaient principalement en Europe (Italie, France, Finlande), mais aussi aux États-Unis et au Canada. Les entreprises en France auraient été les plus touchées.
L’équipe de réponse aux incidents de sécurité informatique du gouvernement national du pays, CERT-FR, a déclaré que l’attaque était semi-automatisée, ciblant les serveurs vulnérables à CVE-2021-21974. La faille est décrite comme une vulnérabilité OpenSLP HeapOverflow, permettant aux pirates d’exécuter du code à distance.
Mais peu de temps après, les chercheurs ont découvert que le chiffreur était défectueux et pendant le processus de chiffrement de gros fichiers, ils en ont ignoré de grandes parties. Cela a donné à deux chercheurs de l’équipe technique de YoreGroup de nombreux fichiers non chiffrés avec lesquels travailler, ce qui les a aidés à trouver un moyen de déchiffrer les fichiers et de restaurer l’accès aux appareils compromis.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis est intervenue plus tard, créant un script pour automatiser le travail et l’a partagé sur GitHub.
Mais la bonne nouvelle n’a pas duré longtemps, car les acteurs de la menace ont maintenant commencé à déployer une version mise à jour du chiffreur, avec la faille éliminée. Pourtant, tout le monde recommande aux victimes d’essayer d’utiliser le script de CISA, juste au cas où.