15/11/2024
IT-Connect » Actualités » Actu Cybersécurité » Le ransomware REvil cible les machines virtuelles VMware ESXi

Actu Cybersécurité

Le ransomware REvil cible les machines virtuelles VMware ESXi

Florian BURNEL 0 commentaire

Le ransomware REvil bénéficie désormais d'un module de chiffrement Linux qui cible et chiffre les machines virtuelles VMware ESXi. Après les NAS, ce ransomware d'attaque aux machines virtuelles.

En mai dernier, le chercheur Yelisey Boguslavskiy de chez Intel, avait découvert un message sur un forum où il était précisé qu'un module de chiffrement basé sur Linux était disponible pour le ransomware REvil et qu'il permettait de s'attaquer à des NAS.

Désormais, ce variant de REvil pour Linux va plus loin puisqu'il s'attaque aux hyperviseurs VMware ESXi et plus particulièrement aux machines virtuelles. L'équipe de chercheurs MalwareHunterTeam a fait cette découverte.

Vitali Kremez de chez Intel a analysé cette version Linux de REvil, qui se présente sous la forme d'un exécutable au format ELF64 (Executable and Linkable Format). Au moment de l'exécuter sur un serveur, l'attaquant peut spécifier différents paramètres, notamment le chemin vers les données à chiffrer : la banque de données de l'hyperviseur où sont stockées les VMs.

Usage example: elf.exe --path /vmfs/ --threads 5
without --path encrypts current dir
--silent (-s) use for not stoping VMs mode
!!!BY DEFAULT THIS SOFTWARE USES 50 THREADS!!!

Vitali Kremez explique également que REvil s'appuie sur le CLI de VMware ESXi (esxcli) pour lister les machines virtuelles présentes sur l'hyperviseur. Les machines virtuelles seront stoppées pour que le ransomware passe à l'action et qu'il chiffre les disques durs virtuels au format VMDK. Si la machine virtuelle n'est pas arrêtée correctement, en plus d'être chiffrée, elle pourrait être corrompue.

En s'attaquant directement aux hôtes VMware ESXi, le ransomware REvil peut chiffrer un nombre important de serveurs avec une seule commande, ce qui est particulièrement dangereux.

Fabian Wosar, le CTO de Emsisoft a précisé que d'autres ransomwares avec un module de chiffrement compatible Linux, dont : Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, ou encore Hellokitty. Ces variants pour Linux sont créés principalement dans le but de s'attaquer aux hôtes VMware ESXi.

Si vous souhaitez obtenir les hashs des fichiers associés à la version Linux de REvil, rendez-vous sur cette page : REvil - Linux - Hash

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

E-mails de phishing - Augmentation de 4151% depuis lancement ChatGPT

Depuis le lancement de ChatGPT, les attaques par phishing ont augmenté de 4 151% !

Florian BURNEL 0

LibreOffice : 3 failles corrigées, dont une qui permet une exécution de code malveillant

Florian BURNEL 0
Palo Alto Networks - CVE-2024-3400 - Patchs sécurité avril 2024

Firewalls Palo Alto – CVE-2024-3400 : les premiers correctifs de sécurité sont disponibles !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.