Plus de 500 hôtes ont été nouvellement compromis en masse par la souche de ransomware ESXiArgs, dont la plupart sont situés en France, en Allemagne, aux Pays-Bas, au Royaume-Uni et en Ukraine.

Les résultats proviennent de la société de gestion de surface d’attaque Censys, qui a découvert « deux hôtes avec des notes de rançon étonnamment similaires datant de la mi-octobre 2022, juste après que les versions 6.5 et 6.7 d’ESXi aient atteint la fin de vie ».

La première série d’infections remonte au 12 octobre 2022, bien plus tôt que lorsque la campagne a commencé à gagner du terrain début février 2023. Puis le 31 janvier 2023, les notes de rançon sur les deux hôtes auraient été mises à jour. avec une version révisée qui correspond à celles utilisées dans la vague actuelle.

Certaines des différences cruciales entre les deux notes de rançon incluent l’utilisation d’une URL d’oignon au lieu d’un ID de chat Tox, une adresse Proton Mail au bas de la note et une demande de rançon inférieure (1,05 Bitcoin contre 2,09 Bitcoin).

« Chaque variante des notes de rançon d’octobre 2022 à février 2023 est étonnamment similaire dans sa formulation à la note d’une variante de ransomware antérieure, Cheerscrypt, qui a gagné en notoriété au début de 2022 », ont déclaré les chercheurs Mark Ellzey et Emily Austin.

Il convient de noter qu’ESXiArgs est soupçonné d’être basé sur le code du rançongiciel Babuk divulgué, qui a également engendré d’autres variantes telles que Cheerscrypt et PrideLocker l’année dernière.

Le développement intervient moins d’une semaine après le retour des acteurs de la menace avec une nouvelle variante qui modifie la méthode de cryptage et la note de rançon suite à la sortie d’un décrypteur pour aider à récupérer les systèmes infectés.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a depuis déclaré que les attaquants « ciblaient probablement les serveurs ESXi en fin de vie ou les serveurs ESXi sur lesquels les correctifs logiciels ESXi disponibles n’ont pas été appliqués ».

« La vulnérabilité de VMware ESXi rappelle clairement l’importance de maintenir les systèmes à jour avec les derniers correctifs de sécurité tout en employant une solide défense périmétrique », a déclaré Martin Zugec de Bitdefender.

« Les attaquants n’ont pas besoin de rechercher de nouveaux exploits ou de nouvelles techniques lorsqu’ils savent que de nombreuses organisations sont vulnérables aux anciens exploits en raison, en partie, du manque de gestion des correctifs et de gestion des risques. »

Le pic coïncide également avec une augmentation de 87% d’une année sur l’autre des attaques de ransomwares ciblant les organisations industrielles en 2022, avec 437 attaques sur 605 frappant le secteur manufacturier, selon un nouveau rapport de Dragos, en partie alimenté par l’évolution continue des ransomwares- modèles en tant que service (RaaS).

Les données recueillies par la société de sécurité industrielle révèlent que 189 attaques de ransomwares ont été signalées au cours du seul dernier trimestre de 2022. Les principaux secteurs verticaux ciblés comprenaient la fabrication (143), l’alimentation et les boissons (15), l’énergie (14), l’industrie pharmaceutique (9), le pétrole et le gaz (4) et l’exploitation minière (1).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *