Le nouveau ransomware RedAlert s’attaque aux serveurs VMware ESXi

Un nouveau ransomware surnommé RedAlert s'attaque aux serveurs VMware ESXi dans le but de chiffrer les machines virtuelles. Les hyperviseurs VMware sont de plus en plus dans le viseur des ransomwares.

Après le ransomware Black Basta en juin dernier et le ransomware Cheerscrypt en mai dernier, c'est un nouveau rançongiciel baptisé RedAlert qui est conçu pour s'attaquer aux hyperviseurs VMware. C'est par l'intermédiaire du compte Twitter de MalwareHunterTeam que l'on a appris l'existence de ce nouveau ransomware surnommé RedAlert ou N13V. Pourquoi ces deux noms ? D'une part, le nom RedAlert apparaît au sein d'une note de rançon, et d'autre part le nom "N13V" est utilisé en interne par les cybercriminels.

Comme je le disais en introduction, ce nouveau ransomware dispose d'un module de chiffrement pour les serveurs VMWare ESXi. Il est capable d'éteindre les machines virtuelles avant de procéder aux chiffrements des fichiers correspondants aux machines virtuelles, notamment les disques virtuels VMDK, les fichiers de SWAP, les fichiers de log, etc.

Le site Bleeping Computer a mis en ligne les différentes options prises en charge par ce ransomware :

-w Stopper toutes les machines virtuelles démarrées
-p Chemin des fichiers à chiffrer (par défaut seulement les fichiers dans ce dossier, sans récursivité)
-f Fichiers à chiffrer
-r Activer la récursivité, en complément de l'option "-p".
-t Vérifier le temps pour chiffrer les données et obtenir des statistiques
-n Rechercher les fichiers à chiffrer sans les chiffrer maintenant.
-x Test de performances pour le chiffrement. DEBUG TESTS
-h Afficher l'aide

Sans surprise, et comme le font les autres ransomwares, lorsque l'option "-w" est utilisée le ransomware RedAlert va s'appuyer sur une commande "esxcli" pour éteindre les différentes machines virtuelles. Pour le chiffrement en lui-même, le ransomware RedAlert s'appuie sur l'algorithme de chiffrement NTRUEncrypt, ce qui n'est pas fréquent avec les autres ransomwares.

Afin de permettre le paiement de la rançon, un site est accessible par l'intermédiaire du réseau Tor et les instructions sont indiquées dans un fichier nommé "HOW_TO_RESTORE". Dans le cas où une entreprise compromise souhaite payer la rançon, il faut savoir qu'il n'y a que les paiements avec la cryptomonnaie Monero qui sont acceptés.

Enfin, il faut savoir que RedAlert applique le principe de la double extorsion : les données sont exfiltrées avant d'être chiffrées, ce qui signifie qu'elles seront mises en ligne si l'entreprise décide de ne pas payer la rançon. A ce jour, le site data leak de RedAlert contient les données d'une seule entreprise, ce qui montre qu'il est relativement récent.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3951 posts and counting.See all posts by florian

One thought on “Le nouveau ransomware RedAlert s’attaque aux serveurs VMware ESXi

  • Merci pour le referencement de la faille mais il manque un todo pour patcher celle-ci ou à défaut un lien vers un site nous permettant de le faire.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.