Lorsqu’il s’agit d’abuser d’une faille connue dans VMware Workspace One Access, les acteurs de la menace ont décidé de monter la barre en introduisant des ransomwares dans le mélange.
Un rapport de Fortinet, qui a observé l’évolution des attaques en août de cette année, a noté une nouvelle faille dans le produit de VMware – une vulnérabilité d’exécution de code à distance due à l’injection de modèles côté serveur.
La faille a été identifiée comme CVE-2022-22954, et il a été rapidement découvert qu’un acteur menaçant connu – APT35 (AKA Rocket Kitten) l’utilisait. Un mois plus tard, EnemyBot a également pris le train en marche. Différents acteurs de la menace abusaient de la faille pour déployer le botnet Mira pour les attaques DDoS, ou GuardMiner pour extraire des crypto-monnaies pour les attaquants.
Entrez RAR1Rançon
Maintenant, Fortinet a observé que la faille était utilisée pour déployer l’outil RAR1Ransom. BipOrdinateur le décrit comme un « simple rançongiciel (s’ouvre dans un nouvel onglet) tool » qui abuse de WinRAR pour compresser les fichiers de la victime et les verrouiller avec un mot de passe. Une fois la tâche terminée, il donne à tous les fichiers verrouillés l’extension .rar1. Pour obtenir le mot de passe, les victimes doivent payer 2 XMR, soit environ 290 $.
Il convient de mentionner qu’il ne s’agit pas d’une variante de ransomware « classique », car elle ne crypte pas réellement les fichiers – elle les verrouille simplement dans une archive protégée par mot de passe.
Fortinet a également constaté que l’adresse XMR à laquelle les victimes doivent payer est la même que celle utilisée dans GuardMiner.
VMware a corrigé la vulnérabilité d’exécution de code à distance il y a des mois, mais il semble que certaines organisations n’aient pas encore corrigé leurs points de terminaison, restant vulnérables à un ensemble croissant d’attaques. Il a corrigé la faille ainsi que quelques autres vulnérabilités en avril et a exhorté ses utilisateurs à ne pas se contenter de la solution de contournement fournie à l’époque :
« Les solutions de contournement, bien que pratiques, ne suppriment pas les vulnérabilités et peuvent introduire des complexités supplémentaires que les correctifs ne feraient pas », a averti la société. « Bien que la décision de corriger ou d’utiliser la solution de contournement vous appartienne, VMware recommande toujours fortement l’application de correctifs comme le moyen le plus simple et le plus fiable de résoudre ce problème. »
Via : BleepingComputer (s’ouvre dans un nouvel onglet)