Une version spécifique du ransomware Black Basta cible les serveurs VMware ESXi
Un de plus ! Le ransomware Black Basta prend désormais en charge le chiffrement des machines virtuelles sur des hôtes VMware ESXi. Il vient s'ajouter à la liste des ransomwares compatibles VMware ESXi, qui ne cesse de s'agrandir.
Pour les pirates informatiques, les hyperviseurs représentent la cible idéale, car en compromettant un seul serveur, ils peuvent en chiffrer plusieurs puisque le serveur VMware ESXi héberge plus ou moins de machines virtuelles selon les entreprises. Ainsi, l'attaque peut s'avérer plus rapide tout en étant dévastatrice.
Les analystes en sécurité d'Uptycs ont remarqué qu'il existe une version du ransomware Black Basta qui cible spécifiquement les serveurs VMware ESXi. De ce fait, le nom de ce ransomware vient s'ajouter à la liste de ceux qui sont déjà en mesure de s'attaquer aux hyperviseurs VMware, notamment LockBit, HelloKitty, Hive, AvosLocker ou encore plus récemment, Cheerscrypt.
Lorsqu'il entre en action, Black Basta va faire comme ses petits copains : il va rechercher la présence de banque de données dans le répertoire "/vmfs/volumes" du serveur afin de détecter l'emplacement des machines virtuelles. S'il ne trouve rien, il s'arrête, mais s'il trouve des machines virtuelles, il s'en prend aux VMs.
Pour chiffrer les machines virtuelles, le ransomware d'appuie sur l'algorithme ChaCha20 et sur du multithreading afin que la phase de chiffrement soit plus rapide. Les différents fichiers chiffrés se retrouvent avec l'extension ".basta" et un fichier "readme.txt" avec des notes (notamment un ID unique pour que les cybercriminels identifient la victime) est déposé dans chaque dossier.
Le ransomware Black Basta est assez récent, car il a été vu pour la première fois en avril 2022, et à ce moment-là, il s'attaquait aux serveurs Windows. Désormais, les pirates se tournent vers les serveurs VMware ESXi. "D'après le lien qui mène au chat et l'extension du fichier chiffré, nous pensons que les acteurs à l'origine de cette campagne sont les mêmes que ceux qui ont ciblé les systèmes Windows auparavant avec le ransomware Black Basta.", précisent les analystes d'Uptycs.
SVP , CVE pour voir si c’est corrigé par l’éditeur