Chili : un ransomware chiffre les machines virtuelles d’une agence gouvernementale

Une agence gouvernementale du Chili a subi une cyberattaque dans laquelle les cybercriminels sont parvenus à chiffrer les machines virtuelles sur les hôtes VMware ESXi ! Que s'est-il passé ?

Le CSIRT du Chili affirme que cette attaque a débuté le jeudi 25 août 2022 et que les attaquants ont ciblé les serveurs Windows et VMware ESXi de l'agence gouvernementale. Lors de cette attaque, les pirates sont parvenus à compromettre les hyperviseurs VMware ESXi, arrêter l'ensemble des machines virtuelles et à les chiffrer avec un ransomware. Résultat, tous les fichiers associés aux machines virtuelles ont l'extension ".crypt" suite à l'action de chiffrement.

Toujours d'après le CSIRT, le ransomware a chiffré de nombreux types de fichiers différents, parmi lesquels les disques durs virtuels (.vmdk), les fichiers journaux (.log), les fichiers exécutables (.exe), les bibliothèques (.dll), les fichiers de SWAP (.vswp), etc...

Les cybercriminels ont appliqué le principe de la double extorsion, donc ils ont communiqué au CSIRT du Chili comment négocier le paiement d'une rançon afin d'empêcher la fuite des fichiers sur le Dark Web et bénéficier d'une clé pour déchiffrer les données.

Qui est à l'origine de cette attaque ?

Une attaque par ransomware, d'accord, mais lequel ? L'annonce du CSIRT chilien ne désigne pas le groupe de ransomware responsable de l'attaque, et compte tenu du peu de détails fournis, l'identification du ransomware n'est pas aisée. On ne peut pas non plus s'appuyer sur le fait que l'extension utilisée est ".crypt", car c'est fréquent.

D'après le site Bleeping Computer, les indicateurs de compromission laissent penser qu'il pourrait s'agir du groupe Conti, déjà à l'origine d'une cyberattaque contre l'agence de santé du Costa Rica. Néanmoins, Germán Fernández, un analyste chilien affirme que la souche malveillante semble être nouvelle et que les chercheurs à qui il a parlé n'ont pas pu associer le malware à une famille connue. Le mystère reste entier.

Suite à cette attaque, le CSIRT chilien a mis en ligne des recommandations à destination de toutes les entités et organisations du pays : vérifier que les systèmes soient bien à jour, vérifier les sauvegardes, etc.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4110 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.