Le ransomware Abyss Locker peut chiffrer les VMs sous VMware ESXi
Désormais, le ransomware Abyss Locker est capable de s'en prendre aux hôtes VMware ESXi dans le but de chiffrer les machines virtuelles grâce à son nouveau module de chiffrement pour les systèmes Linux. Faisons le point sur cette menace.
Ce n'est pas un secret : les cybercriminels aiment s'en prendre aux hyperviseurs VMware ESXi car en exécutant le ransomware sur ce serveur, ils peuvent chiffrer un ensemble de machines virtuelles et impacter fortement l'infrastructure informatique de l'entreprise concernée. Depuis plusieurs années, les serveurs VMware ESXi sont devenus une cible de premier choix. Mais pour cela, le ransomware doit avoir un module de chiffrement compatible avec les systèmes basés sur Linux. Plusieurs gangs ont fait le nécessaire, notamment HelloKitty, LockBit, Black Basta, Royal, ou encore Hive.
Lancé en mars 2023, le gang de ransomware Abyss Locker applique le principe de la double extorsion lors de ses attaques, ce qui implique le chiffrement des machines et l'exfiltration de données, toujours dans le but de convaincre la victime de payer la rançon. Les victimes de ce gang sont référencées sur le site Abyss-data, accessible via le réseau Tor. À ce jour, 14 victimes sont référencées.
Que se passe-t-il sur un hyperviseur compromis ?
D'après le compte Twitter MalwareHunterTeam, un module de chiffrement au format ELF à destination de Linux a été repéré et il cible clairement les systèmes VMware ESXi. Pourquoi ? Parce qu'il exécute des commandes basées sur "esxcli" qui est l'outil de gestion en ligne de commandes de VMware ESXi. Ces commandes servent à lister les machines virtuelles de l'hôte VMware ESXi et à les arrêter, soit proprement, soit de manière forcée (si la première méthode échoue).
Ensuite, le ransomware Abyss Locker va chiffrer (via ChaCha) tous les fichiers VMDK (disques virtuels), les fichiers VMSD (métadonnées) et les fichiers VMSN (snapshots) afin que l'ensemble de la VM soit chiffrée. Il va aussi chiffrer les autres fichiers qui pourraient trainer sur la banque de données de l'hyperviseur. Au final, tous les fichiers chiffrés héritent de l'extension ".crypt". Bien sûr, une note de rançon est également déposée sur le serveur pour fournir les instructions nécessaires pour contacter les cybercriminels.
La menace Abyss Locker reprend le mode de fonctionnement d'autres ransomwares : on ne peut pas dire qu'il innove, mais c'est une menace supplémentaire. Enfin, sachez que le module de chiffrement Linux est basé sur celui d'HelloKitty, réputé pour être sécurisé (ce qui ne facilitera pas la récupération de données).
