Une variante du ransomware HelloKitty s’attaque aux serveurs VMware ESXi

Une nouvelle variante du ransomware HelloKitty rejoint la liste des ransomwares qui s'attaquent aux serveurs VMware ESXi, qui sont désormais une cible de plus en plus privilégiée par les pirates.

Souvenez-vous, le mois dernier on apprenait l'existence d'un module de chiffrement spécifique au sein du ransomware REvil, dans le but de s'attaquer aux serveurs VMware ESXi et de chiffrer les datastores. Pour rappel, le datastore est l'emplacement de stockage où sont stockées les machines virtuelles.

Comme la dernière fois, c'est l'équipe de chercheurs MalwareHunterTeam qui a fait cette découverte, et cette fois-ci cela concerne une nouvelle variante du ransomware HelloKitty. Elle se présente sous la forme d'un exécutable ELF-64, à destination de Linux. Même si VMware utilise un noyau Linux personnalisé, il est possible de lancer ce type d'exécutable sur les hyperviseurs.

Pour interagir avec le serveur VMware ESXi, le ransomware s'appuie sur la ligne de commandes esxcli. Cela lui permet d'éteindre la machine virtuelle afin d'éviter que les fichiers soient verrouillés, et il procède ensuite au chiffrement de ces mêmes fichiers. Comme le montre l'exemple ci-dessous, le ransomware cherche à éteindre proprement la VM dans un premier temps, et si cela ne fonctionne pas il essaie deux autres méthodes plus brutales.

First try kill VM:%ld ID:%d %s
esxcli vm process kill -t=soft -w=%d
Check kill VM:%ld ID:%d
esxcli vm process kill -t=hard -w=%d
Unable to find
Killed VM:%ld ID:%d
still running VM:%ld ID:%d try force
esxcli vm process kill -t=force -w=%d
Check VM:%ld ID: %d manual !!!
.README_TO_RESTORE
Find ESXi:%s
esxcli vm process list
World ID:
Process ID:
Running VM:%ld ID:%d %s
Total VM run on host: %ld

Les hackers apprécient particulièrement les hyperviseurs, en l'occurrence sous VMware ESXi. Pour deux raisons : ils sont très répandus et prendre le contrôle d'un ESXi permet de cibler X serveurs virtuels, ce qui est particulièrement impactant.

Dirk Schrader de chez New Net Technologies, explique qu'attaquer un équipement (VMware ESXi) qui héberge une trentaine de services critiques d'une organisation est particulièrement intéressant pour les pirates, afin d'obtenir un résultat. Quand il dit "résultat", il veut dire par là que l'entreprise va payer la rançon et donc que c'est rentable pour les hackers.

Pour se protéger contre ce type d'attaques, il convient de maintenir à jour son serveur VMware ESXi autant que possible pour bénéficier des derniers correctifs de sécurité.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3117 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.