La société Sophos a rapporté une attaque récemment observée dans laquelle une variante d’un ransomware basée sur Python a été utilisée pour cibler les serveurs VMware ESXi et crypter la totalité de leurs disques virtuels.

L'attaque implique l'utilisation d'un script Python personnalisé qui, une fois exécuté sur l'hyperviseur de la machine virtuelle de l'organisation cible, met toutes les VM hors ligne.

Les chercheurs en sécurité de Sophos expliquent que les attaquants ont été plutôt rapides à exécuter le ransomware. Le processus de cryptage a commencé environ trois heures après la compromission initiale.

Pour accéder initialement, les attaquants ont compromis un compte TeamViewer qui n'avait pas d'authentification multifactorielle configurée, et qui fonctionnait en arrière-plan sur un ordinateur appartenant à un utilisateur qui avait les identifiants d'administrateur de domaine.

Les attaquants ont attendu 30 minutes après minuit dans le fuseau horaire de l'organisation pour se connecter, puis ont téléchargé et exécuté un outil d'identification des cibles sur le réseau, ce qui leur a permis de trouver un serveur VMware ESXi.

Les attaquants ont récupéré un client SSH pour se connecter au serveur, en exploitant le service SSH intégré ESXi Shell qui peut être activé sur les serveurs ESXi à des fins de gestion.

Trois heures après le premier scan du réseau, les attaquants ont accédé au Shell ESXi, copié le script Python, puis l'ont exécuté pour chaque volume de disque du datastore, chiffrant ainsi le disque virtuel et les fichiers de paramètres des machines virtuelles.

Le script contient plusieurs clés de chiffrement hard-Coded, ainsi qu'une routine permettant de générer encore plus de clés, ce qui a conduit les chercheurs à la conclusion que le ransomware crée une clé unique à chaque exécution. Également dans cette attaque particulière, comme les attaquants ont exécuté le script séparément pour chacun des trois datastores ESXi ciblés, une nouvelle clé a été créée pour chaque processus de chiffrement. Le script ne transmet pas les clés mais les écrit dans le système de fichiers, cryptées avec la clé publique hard-coded.

Puisque la protection des points de terminaison sur ces types de serveurs est cruciale, voici quelques bonnes pratiques pour atténuer le risque d'être compromis :

• Éviter la réutilisation des mots de passe ;
• Utiliser des mots de passe complexes, difficiles à brute forcer et d'une longueur suffisante ;
• Utiliser l’authentification-multi-factorielle (AMF) chaque fois que cela est possible, et l'appliquer pour les comptes à fortes permissions, comme ceux des administrateurs de domaine.
• Désactiver le Shell lorsqu'il n'est pas utilisé.

VMware dispose également d’une liste de bonnes pratiques pour les administrateurs de leurs hyperviseurs ESXi sur la manière de les sécuriser et de limiter la surface d'attaque sur l'hyperviseur lui-même.