Le ransomware REvil cible les machines virtuelles VMware ESXi

Le ransomware REvil bénéficie désormais d'un module de chiffrement Linux qui cible et chiffre les machines virtuelles VMware ESXi. Après les NAS, ce ransomware d'attaque aux machines virtuelles.

En mai dernier, le chercheur Yelisey Boguslavskiy de chez Intel, avait découvert un message sur un forum où il était précisé qu'un module de chiffrement basé sur Linux était disponible pour le ransomware REvil et qu'il permettait de s'attaquer à des NAS.

Désormais, ce variant de REvil pour Linux va plus loin puisqu'il s'attaque aux hyperviseurs VMware ESXi et plus particulièrement aux machines virtuelles. L'équipe de chercheurs MalwareHunterTeam a fait cette découverte.

Vitali Kremez de chez Intel a analysé cette version Linux de REvil, qui se présente sous la forme d'un exécutable au format ELF64 (Executable and Linkable Format). Au moment de l'exécuter sur un serveur, l'attaquant peut spécifier différents paramètres, notamment le chemin vers les données à chiffrer : la banque de données de l'hyperviseur où sont stockées les VMs.

Usage example: elf.exe --path /vmfs/ --threads 5
without --path encrypts current dir
--silent (-s) use for not stoping VMs mode
!!!BY DEFAULT THIS SOFTWARE USES 50 THREADS!!!

Vitali Kremez explique également que REvil s'appuie sur le CLI de VMware ESXi (esxcli) pour lister les machines virtuelles présentes sur l'hyperviseur. Les machines virtuelles seront stoppées pour que le ransomware passe à l'action et qu'il chiffre les disques durs virtuels au format VMDK. Si la machine virtuelle n'est pas arrêtée correctement, en plus d'être chiffrée, elle pourrait être corrompue.

En s'attaquant directement aux hôtes VMware ESXi, le ransomware REvil peut chiffrer un nombre important de serveurs avec une seule commande, ce qui est particulièrement dangereux.

Fabian Wosar, le CTO de Emsisoft a précisé que d'autres ransomwares avec un module de chiffrement compatible Linux, dont : Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, ou encore Hellokitty. Ces variants pour Linux sont créés principalement dans le but de s'attaquer aux hôtes VMware ESXi.

Si vous souhaitez obtenir les hashs des fichiers associés à la version Linux de REvil, rendez-vous sur cette page : REvil - Linux - Hash

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3285 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.