Les pirates exploitent à grande échelle une vulnérabilité connue des serveurs ESXi de VMware, ciblant les terminaux (s’ouvre dans un nouvel onglet) à travers l’Europe et l’Amérique du Nord, les responsables gouvernementaux et les porte-parole de l’entreprise ont confirmé.
L’Agence nationale italienne de la cybersécurité (ACN) a averti les entreprises utilisant ces produits VMware de mettre à jour leurs appareils immédiatement, et ainsi de rester à l’abri de la campagne de cybercriminalité en cours.
L’ANSA (une grande agence de presse italienne) a en outre déclaré qu’en plus des serveurs en Italie, les pirates ciblaient également ceux situés en France, en Finlande, aux États-Unis et au Canada.
500 victimes et ça continue
Des rapports ont affirmé que « des dizaines » d’organisations en Italie ont été touchées par la campagne. L’agence affirme que les entreprises ont été averties de prendre des mesures « pour éviter d’être bloquées hors de leurs systèmes », suggérant que les attaquants utilisaient la vulnérabilité dans des campagnes de ransomwares.
Outre-Atlantique, les responsables américains de la cybersécurité analysaient les rapports entrants :
« CISA travaille avec nos partenaires des secteurs public et privé pour évaluer les impacts de ces incidents signalés et fournir une assistance si nécessaire », Reuters (s’ouvre dans un nouvel onglet) cité la Cybersecurity and Infrastructure Security Agency des États-Unis.
Un porte-parole de VMware a déclaré que les pirates abusaient d’une faille découverte au début de 2021 et corrigée en février de la même année. La société a également exhorté ses clients à appliquer le patch immédiatement.
Un rapport séparé publié par The Stack (s’ouvre dans un nouvel onglet) affirme que plus de 500 entreprises ont jusqu’à présent été touchées par la campagne et qu’il s’agissait en fait d’une attaque de ransomware. Les entreprises en France seraient les plus touchées. L’équipe de réponse aux incidents de sécurité informatique du gouvernement national du pays, CERT-FR, affirme que l’attaque est semi-automatisée, ciblant les serveurs vulnérables à CVE-2021-21974.
La faille est décrite comme une vulnérabilité OpenSLP HeapOverflow, permettant aux pirates d’exécuter du code à distance.
Jusqu’à présent, nous ne savons pas quel groupe de rançongiciels a lancé l’attaque et quel chiffreur est déployé, mais les rapports indiquent qu’environ 20 serveurs sont touchés toutes les heures.