2 100 machines virtuelles ciblées par un rançongiciel
Très mauvais week-end pour les exploitants de serveurs basés sur l’hyperviseur de machines virtuelles Esxi. Une campagne par rançongiciel qui touche certaines versions de ce logiciel a en effet débuté vendredi dernier. Repérée par le président de l’hébergeur Scaleway et le CERT-FR, la vague malveillante a été qualifiée de « massive ».
Ainsi, selon le moteur de recherche Onyphe, spécialisé dans l’analyse de la surface d’attaque, plus de 2 100 machines virtuelles auraient été compromises, selon un décompte publié sur Twitter dimanche soir. Vendredi, il était recommandé d’éteindre ou de déconnecter ses infrastructures Esxi au plus tôt.
publicité
Rançons de deux bitcoins
Visiblement pris de cours, des victimes ont déjà posté leur témoignage sur le forum du média spécialisé Bleeping Computer. Elles font ainsi état de demandes de rançons de 2 bitcoins, soit environ 42 000 euros. « Nous sommes touchés sur plusieurs Esxi mais pas tous. Cependant, c’est la galère pour trouver le bon patch », raconte également sur Twitter un internaute francophone.
Comme repéré par Le Mag IT, plusieurs organisations françaises semblent avoir été victimes de cette campagne, d’une radio locale des Alpes à l’association Nice Météo 06. Mais si l’attaque a d’abord été repérée par des organisations françaises, la campagne malveillante affecte des cibles dans le monde entier. C’est le cas par exemple l’université de Naples, en Italie.
Attribution encore floue
Selon le CERT-FR, l’attaque informatique serait basée sur l’exploitation d’une vulnérabilité (CVE-2021-21974) corrigée depuis février 2021.
T
Toutefois, le centre d’alerte de l’Anssi précise prudemment qu’il ne s’agit que d’une première conclusion « dans l’état actuel des investigations ». De même, si OVH avait cru voir au départ le rançongiciel Nevada à l’œuvre dans cette campagne, l’hébergeur s’est depuis montré depuis plus réservé sur l’attribution.
L’entreprise précise également dans un message de blog avoir lancé « plusieurs initiatives pour identifier les serveurs vulnérables » chez ses clients avant de les avertir. « Dans certains cas, le chiffrement des fichiers peut partiellement échouer, permettant de récupérer des données », ajoute l’hébergeur, qui signale qu’un chercheur en sécurité turc, Enes Sönmez, a détaillé une méthode pour récupérer le contenu de son serveur virtuel.
