Nous avons aussi des histoires passionnantes dans notre univers, qui peuvent avoir des conséquences dramatiques dans notre monde numérique.
Tout d’abord avant de vous raconter ce qui c’est passé le 3 février 2023, permettez-moi de vous donner les informations qui vont vous rendre possible de mieux appréhender le déroulement de cette histoire.
Les méchants aiment les ransomwares
Vous devez avoir entendu parler de ransomware ou rançongiciel en français, nous vous en parlions en 2016.
Pour faire simple, c’est un logiciel malveillant qui empêche l’accès à un système informatique jusqu’à ce qu’une somme soit versée.
L’attaque, dont je vais vous narrer l’histoire, à été portée sur un logiciel de virtualisation développé par l’ entreprise américaine VMware qui a été fondée en février 1998 à Palo Alto, filiale d’EMC Corporation depuis 2004 (racheté par Dell le 7 septembre 20164,5), qui propose plusieurs produits propriétaires liés à la virtualisation d’architectures x86. (source wikipedia) Ce logiciel est très largement diffusé dans le monde de l’hébergement et des entreprises qui ont besoin de virtualiser des serveurs ou des postes de travail.
Pour vous expliquer la virtualisation :
La virtualisation permet de créer des environnements informatiques distincts sur une seule machine physique. Un hyperviseur gère les ressources matérielles de la machine hôte pour faire fonctionner plusieurs systèmes d’exploitation sous forme de machine virtuelle.
La virtualisation permet de consolider les serveurs, de créer des laboratoires de test et de développement, ou d’exécuter plusieurs systèmes d’exploitation sur un seul ordinateur.
Voici les grandes lignes de cette mésaventure.
Les attaques, ont ciblés l’hyperviseur ESXi bare metal de VMware,
L’hyperviseur ESXi bare metal de VMware est un logiciel de virtualisation de type 1, qui s’exécute directement sur le matériel d’un serveur physique, sans nécessiter de système d’exploitation hôte. Cela le rend plus léger et plus sécurisé que les hyperviseurs de type 2 qui s’exécutent sur un système d’exploitation hôte.
ESXi est également conçu pour prendre en charge des fonctionnalités avancées de virtualisation, telles que la migration en temps réel des machines virtuelles, la haute disponibilité, la réplication de données, la gestion des ressources et la sécurité renforcée.
Le 3 février 2023
Les attaques ont été rendues publiques pour la première fois le 3 février 2023 par le Centre d’intervention pour les urgences informatiques (CERT-FR). Elles visent les instances ESXi toutes les version de VMware ESXi y compris celles actuelles (la plus ancienne supportée est la 6.5 et cette actuelle la 8.0.x) : ou celles qui n’ont pas été corrigées selon les normes actuelles. Selon le FBI, environ 3 800 serveurs ont été compromis dans le monde. https://kb.vmware.com/s/article/2143832
Le FBI et le CISA ont publié un script de récupération pour la campagne mondiale de ransomware ESXiArgs visant les serveurs VMware ESXi, mais le ransomware a été mis à jour pour échapper aux tentatives de remédiation précédentes.
« La publication d’un script de récupération peut inciter les attaquants à modifier leur approche, car cela peut représenter une menace pour leur modèle d’affaires. Si les victimes peuvent récupérer leurs données sans payer la rançon, cela peut décourager les attaquants et réduire leurs revenus.”
Citation de Corinne Meynier et de beaucoup d’autres personnes dans le monde 😉
Mercredi 8 février 2023
Après la publication, mercredi 8 février 2023, d’un script de récupération par le FBI et l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) à l’intention des organisations touchées par une attaque massive de ransomware ciblant les serveurs VMWare ESXi dans le monde entier, des informations ont fait surface selon lesquelles le logiciel malveillant a évolué de telle sorte que les procédures de récupération précédentes ont été rendues inefficaces.
Le ransomware chiffre les fichiers de configuration des machines virtuelles vulnérables, les rendant potentiellement inopérantes.
Une note de rançon envoyée à une entreprise victime exigeait 23 000 dollars en bitcoins.
La CISA a publié un script de récupération en collaboration avec le FBI. Selon le groupe, le script ne supprime pas les fichiers de configuration affectés, mais tente d’en créer de nouveaux. Ce n’est pas un moyen garanti d’éviter les demandes de rançon, et il ne traite pas la vulnérabilité fondamentale qui a permis l’attaque ESXiArgs en premier lieu, mais il pourrait être une première étape critique pour les entreprises touchées.
Après avoir exécuté le script, la CISA recommande aux entreprises de mettre immédiatement à jour leurs serveurs avec les dernières versions, de désactiver le service Service Location Protocol (SLP) utilisé par les attaquants ESXiArgs pour compromettre les machines virtuelles, et de déconnecter les hyperviseurs ESXi de l’Internet public avant de réinitialiser les systèmes.
Cependant, peu de temps après la publication des conseils de la CISA, des rapports ont fait surface indiquant qu’une nouvelle version du ransomware infectait les serveurs et rendait inefficaces les méthodes de récupération précédentes.
Le ransomware crypte désormais un pourcentage plus élevé des fichiers de configuration qu’il cible généralement, ce qui rend difficile, voire impossible, la création d’une alternative propre par le script CISA.
Après la publication de la vulnérabilité principale CVE-2021-21974, un correctif a été disponible depuis près d’un an. Pour atténuer les risques liés à cette vulnérabilité, il est important de mettre à jour les machines pour qu’elles soient conformes à la dernière norme, qui n’est pas vulnérable à l’attaque ESXiArgs.
Par ailleurs, la fermeture du service SLP et la déconnexion de l’Internet public sont également des mesures d’atténuation importantes à prendre en considération..
Les attaques ont principalement visé des serveurs en France, aux États-Unis et en Allemagne
Selon la société de cybersécurité Censys, les attaques ont principalement visé des serveurs en France, aux États-Unis et en Allemagne, avec un nombre important de victimes au Canada et au Royaume-Uni également. Pour prévenir d’autres attaques, la CISA et le FBI ont publié une liste de mesures supplémentaires à prendre, telles que le maintien de sauvegardes hors ligne régulières et robustes, la limitation des vecteurs de logiciels malveillants connus tels que les premières versions du protocole réseau SMB, et l’exigence d’un niveau généralement élevé de sécurité interne – 2FA résistant au phishing, audit des comptes utilisateurs et plusieurs autres techniques ont été particulièrement recommandés.
Les bonnes pratiques
Il est important de noter que la publication d’un script de récupération n’élimine pas complètement la menace des ransomwares. Les attaquants peuvent toujours exploiter des vulnérabilités de sécurité ou utiliser des techniques d’ingénierie sociale pour obtenir l’accès aux systèmes et chiffrer les données.
Les propriétaires de serveurs devraient continuer à mettre en œuvre des mesures de sécurité solides pour protéger leurs systèmes contre les ransomwares. Cela peut inclure la mise à jour régulière des logiciels, la configuration appropriée des paramètres de sécurité et la sensibilisation des utilisateurs aux menaces de phishing et d’ingénierie sociale. En outre, il est essentiel de sauvegarder régulièrement les données et de les stocker dans un emplacement sécurisé, de sorte que les victimes puissent récupérer leurs données sans avoir à payer la rançon.
Ce que fait Kabia :
Pas plus fort que les autres, nous aimerions être invincibles, mais comme tout hosteur nous savons que la menace est toujours présente.
Alors nous suivons les recommandations des services tel que l’ANSSI ou le CERT-FR : https://www.cert.ssi.gouv.fr/ – https://www.ssi.gouv.fr/
Ce que vous pouvez faire : en plus de votre sauvegarde dans le cloud Kabia, nous vous invitons à effectuer des sauvegardes sur des disques durs externes non connectés au réseau ou sur bande. La méthode est parfois contraignante pour certains mais assurément rassurante en cas de demande de rançon…
Corinne Meynier est une personne passionnée par l’entrepreneuriat et la technologie. Elle a co-fondé Kabia en 2005, une entreprise proposant des services à haute valeur ajoutée axés sur les réseaux, la sécurité, l’hébergement internet à très haute disponibilité, le Cloud computing régional PACA et des solutions de mise en réseau et sécurité pour systèmes d’informations.
Elle prête sa voix au podcast Sweet-Cloud
https://podcasters.spotify.com/pod/show/sweet-cloud
En plus de son rôle de co-fondatrice chez Kabia, Corinne Meynier est également engagée dans différentes organisations. Elle est membre du conseil d’administration d’EuroCloud depuis novembre 2022, une organisation qui promeut l’adoption du Cloud computing en Europe et elle est également présidente de Cloud-PACA, une association qui a pour objectif de faire connaître tous les talents de l’IT sur la région sud de la France.
Corinne Meynier partage ses connaissances et son expérience à travers son podcast, Sweet-cloud, qui a pour but de donner des clés simples pour comprendre le monde numérique que nous utilisons chaque jour. Elle est une entrepreneuse passionnée qui croit en l’importance de l’humain au centre de la technologie.