16/12/2024

Actu Cybersécurité

Une version spécifique du ransomware Black Basta cible les serveurs VMware ESXi

Un de plus ! Le ransomware Black Basta prend désormais en charge le chiffrement des machines virtuelles sur des hôtes VMware ESXi. Il vient s'ajouter à la liste des ransomwares compatibles VMware ESXi, qui ne cesse de s'agrandir.

Pour les pirates informatiques, les hyperviseurs représentent la cible idéale, car en compromettant un seul serveur, ils peuvent en chiffrer plusieurs puisque le serveur VMware ESXi héberge plus ou moins de machines virtuelles selon les entreprises. Ainsi, l'attaque peut s'avérer plus rapide tout en étant dévastatrice.

Les analystes en sécurité d'Uptycs ont remarqué qu'il existe une version du ransomware Black Basta qui cible spécifiquement les serveurs VMware ESXi. De ce fait, le nom de ce ransomware vient s'ajouter à la liste de ceux qui sont déjà en mesure de s'attaquer aux hyperviseurs VMware, notamment LockBit, HelloKitty, Hive, AvosLocker ou encore plus récemment, Cheerscrypt.

Lorsqu'il entre en action, Black Basta va faire comme ses petits copains : il va rechercher la présence de banque de données dans le répertoire "/vmfs/volumes" du serveur afin de détecter l'emplacement des machines virtuelles. S'il ne trouve rien, il s'arrête, mais s'il trouve des machines virtuelles, il s'en prend aux VMs.

Pour chiffrer les machines virtuelles, le ransomware d'appuie sur l'algorithme ChaCha20 et sur du multithreading afin que la phase de chiffrement soit plus rapide. Les différents fichiers chiffrés se retrouvent avec l'extension ".basta" et un fichier "readme.txt" avec des notes (notamment un ID unique pour que les cybercriminels identifient la victime) est déposé dans chaque dossier.

Le ransomware Black Basta est assez récent, car il a été vu pour la première fois en avril 2022, et à ce moment-là, il s'attaquait aux serveurs Windows. Désormais, les pirates se tournent vers les serveurs VMware ESXi. "D'après le lien qui mène au chat et l'extension du fichier chiffré, nous pensons que les acteurs à l'origine de cette campagne sont les mêmes que ceux qui ont ciblé les systèmes Windows auparavant avec le ransomware Black Basta.", précisent les analystes d'Uptycs.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Une version spécifique du ransomware Black Basta cible les serveurs VMware ESXi

  • SVP , CVE pour voir si c’est corrigé par l’éditeur

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.