Table des matières
- Exploitation des vulnérabilités ESXi
- Une nouvelle variante Linux de RansomHub découverte
- Attaque des systèmes ESXi : RansomHub, une plateforme de ransomware
- Attaques multiplateformes et hausse des victimes
- Attaque des systèmes ESXi : Commissions attractives pour les affiliés
- Attaque des systèmes ESXi : Exploitation des sauvegardes mal configurées
- Attaque des systèmes ESXi : Liens avec d’autres ransomwares
- Mesures de sécurité recommandées
- Conclusion
Les pirates ciblent souvent les systèmes ESXi en raison de leur utilisation fréquente dans les entreprises pour la gestion de l’infrastructure virtuelle. Cela en fait des cibles très attractives pour les cybercriminels.
Exploitation des vulnérabilités ESXi
D’abord, les attaquants exploitent les failles de sécurité des systèmes ESXi pour déployer des ransomwares et mener d’autres actions malveillantes. En plus, ces attaques peuvent avoir des conséquences graves pour les organisations touchées.
Une nouvelle variante Linux de RansomHub découverte
Ensuite, Recorded Future a identifié une nouvelle variante Linux de RansomHub qui attaque activement les systèmes ESXi.
Attaque des systèmes ESXi : RansomHub, une plateforme de ransomware
En outre, RansomHub est une plateforme de ransomware en tant que service (RaaS) lancée en février 2024. Elle cible divers systèmes d’exploitation avec des logiciels malveillants écrits en Go et C++.
Attaques multiplateformes et hausse des victimes
Depuis sa création, RansomHub a attaqué 45 victimes dans 18 pays, principalement dans le secteur informatique. Ainsi, le nombre d’attaques multiplateformes a augmenté de manière spectaculaire entre 2022 et 2023, multipliant par sept les incidents de ce type.
Attaque des systèmes ESXi : Commissions attractives pour les affiliés
Par ailleurs, RansomHub propose une commission de 90 % à ses affiliés, attirant des cybercriminels expérimentés. Cette approche de “chasse au gros gibier” cible des victimes de grande valeur qui pourraient payer des rançons élevées en raison de l’impact de l’arrêt de leurs opérations.
Attaque des systèmes ESXi : Exploitation des sauvegardes mal configurées
Les affiliés de RansomHub utilisent des instances Amazon S3 mal configurées pour accéder aux sauvegardes de plusieurs clients. Ensuite, ils menacent ces fournisseurs de sauvegarde afin de les extorquer et de les pousser à acheter les données volées.
Attaque des systèmes ESXi : Liens avec d’autres ransomwares
Le groupe Insikt a trouvé des similitudes de code entre RansomHub, ALPHV (BlackCat) et Knight Ransomware, suggérant des connexions entre ces groupes. Ainsi, RansomHub utilise des paramètres de mot de passe pour les fichiers chiffrés afin de compliquer l’analyse.
Mesures de sécurité recommandées
Les organisations doivent prendre des mesures immédiates et à long terme pour se protéger de cette menace. Voici quelques recommandations :
- Segmenter le réseau pour limiter les mouvements latéraux.
- Utiliser un système de gestion des événements de sécurité (SIEM) pour centraliser la journalisation et la détection des menaces.
- Mettre en place des outils de détection et de réponse aux incidents (EDR) avec des règles YARA et Sigma.
- Appliquer le principe du moindre privilège et utiliser l’authentification multifacteur (MFA) pour l’accès à distance.
- Effectuer des sauvegardes régulières des données, hors ligne et isolées.
- Réaliser des audits réguliers des systèmes.
- Maintenir tous les systèmes à jour avec les derniers correctifs de sécurité.
- Utiliser des règles YARA, Sigma et Snort pour détecter les logiciels malveillants.
Conclusion
En résumé, les attaques de RansomHub sur les systèmes ESXi montrent la nécessité de renforcer la sécurité des infrastructures virtuelles. En prenant des mesures de protection adéquates, les organisations peuvent réduire les risques et se défendre contre ces menaces croissantes.
Enfin, visitez souvent GeekFrance pour découvrir plus d’actualité sur la cybersécurité.