{"id":20481,"date":"2023-04-26T14:57:39","date_gmt":"2023-04-26T12:57:39","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20481"},"modified":"2023-04-26T14:57:39","modified_gmt":"2023-04-26T12:57:39","slug":"linux-vmware-esxi-ransomware-attacks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/linux-vmware-esxi-ransomware-attacks\/20481\/","title":{"rendered":"Les syst\u00e8mes de virtualisation et les serveurs de Linux sont attaqu\u00e9s"},"content":{"rendered":"<p>Vous savez que le ran\u00e7ongiciel est un danger, mais comment renforcer vos d\u00e9fenses\u00a0? Autrement dit, qu\u2019est-ce que vous devez prot\u00e9ger en premier lieu\u00a0? Les postes de travail Windows, les serveurs Active Directory et les autres produits Microsoft sont souvent les premiers candidats. Cette approche est g\u00e9n\u00e9ralement justifi\u00e9e. Il convient toutefois de ne pas oublier que les cybercriminels ne cessent d\u2019\u00e9voluer et que de nouveaux outils sont <a href=\"https:\/\/securelist.com\/new-ransomware-trends-in-2022\/106457\/\" target=\"_blank\" rel=\"noopener\">d\u00e9velopp\u00e9s pour les serveurs de Linux<\/a> et pour les syst\u00e8mes de virtualisation. Le nombre d\u2019attaques contre les syst\u00e8mes Linux <a href=\"https:\/\/www.zdnet.com\/article\/linux-devices-increasingly-under-attack-from-hackers-warn-security-researchers\/\" target=\"_blank\" rel=\"noopener nofollow\">a augment\u00e9 de pr\u00e8s de 75 % en 2022<\/a>.<\/p>\n<p>La motivation derri\u00e8re ces attaques est \u00e9vidente\u00a0: l\u2019open source et la virtualisation sont de plus en plus populaires, ce qui signifie que de plus en plus de serveurs utilisent Linux ou VMware ESXi. Ces syst\u00e8mes conservent beaucoup d\u2019informations sensibles qui, si elles sont chiffr\u00e9es, peuvent instantan\u00e9ment paralyser les op\u00e9rations d\u2019une entreprise. \u00c9tant donn\u00e9 que la s\u00e9curit\u00e9 des syst\u00e8mes Windows a toujours attir\u00e9 l\u2019attention, il s\u2019av\u00e8re que les serveurs qui ne sont pas de Windows sont une cible facile.<\/p>\n<h2>Les attaques lanc\u00e9es en 2022 et 2023<\/h2>\n<ul>\n<li>En f\u00e9vrier 2023, plusieurs propri\u00e9taires de serveurs VMware ESXi ont \u00e9t\u00e9 victimes de l\u2019\u00e9pid\u00e9mie du <a href=\"https:\/\/t.me\/kasperskyb2b\/448\" target=\"_blank\" rel=\"noopener nofollow\">ran\u00e7ongiciel ESXiArgs<\/a>. L\u2019exploitation de la vuln\u00e9rabilit\u00e9 CVE-2021-21974 permettait aux cybercriminels de d\u00e9sactiver les machines virtuelles et de chiffrer les fichiers .vmxf, .vmx, .vmdk, .vmsd et .nvram.<\/li>\n<li>Le tristement c\u00e9l\u00e8bre gang Clop, connu pour <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/clop-ransomware-claims-it-breached-130-orgs-using-goanywhere-zero-day\/\" target=\"_blank\" rel=\"noopener nofollow\">l\u2019attaque \u00e0 grande \u00e9chelle<\/a> qui a vis\u00e9 les services de transfert de fichiers Fortra GoAnywhere \u00e0 cause de la vuln\u00e9rabilit\u00e9 <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-0669\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-0669<\/a>, a \u00e9t\u00e9 d\u00e9tect\u00e9 en d\u00e9cembre 2022 alors qu\u2019il utilisait une version Linux (bien que de mani\u00e8re limit\u00e9e) de son ran\u00e7ongiciel. Le programme est l\u00e9g\u00e8rement diff\u00e9rent de son homologue Windows (puisque certaines optimisations et techniques de d\u00e9fense n\u2019existent pas) mais est adapt\u00e9 aux autorisations de Linux et aux types d\u2019utilisateur. <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/clop-ransomware-flaw-allowed-linux-victims-to-recover-files-for-months\/\" target=\"_blank\" rel=\"noopener nofollow\">Il vise sp\u00e9cifiquement les fichiers de la base de donn\u00e9es d\u2019Oracle<\/a>.<\/li>\n<li>Une nouvelle version du <a href=\"https:\/\/securelist.com\/luna-black-basta-ransomware\/106950\/\" target=\"_blank\" rel=\"noopener\">ran\u00e7ongiciel BlackBasta<\/a> a \u00e9t\u00e9 con\u00e7ue sp\u00e9cifiquement pour attaquer les hyperviseurs ESXi. Le syst\u00e8me de chiffrement se sert de l\u2019algorithme ChaCha20 en mode multithread avec l\u2019utilisation de plusieurs processeurs. \u00c9tant donn\u00e9 que les fermes de serveurs ESXi sont g\u00e9n\u00e9ralement multiprocesseurs, cet algorithme minimise le temps consacr\u00e9 au chiffrement de tout l\u2019environnement.<\/li>\n<li>Peu de temps apr\u00e8s son apparition, le groupe de cybercriminels Conti s\u2019est \u00e9quip\u00e9 d\u2019un ran\u00e7ongiciel qui cible ESXi. Malheureusement, comme grande partie du code de Conti a \u00e9t\u00e9 divulgu\u00e9, un large \u00e9ventail de hackers ont d\u00e9sormais acc\u00e8s \u00e0 leurs d\u00e9veloppements.<\/li>\n<li>Le ran\u00e7ongiciel BlackCat, \u00e9crit en Rust, peut aussi d\u00e9sactiver et supprimer les machines virtuelles ESXi. Par ailleurs, le code malveillant diff\u00e8re peu de la version Windows.<\/li>\n<li>Le <a href=\"https:\/\/www.kaspersky.fr\/blog\/luna-blackbasta-ransomware\/19204\/\" target=\"_blank\" rel=\"noopener\">ran\u00e7ongiciel Luna<\/a>, que nous avons d\u00e9tect\u00e9 en 2022, a d\u2019abord \u00e9t\u00e9 multiplateforme puisqu\u2019il pouvait s\u2019ex\u00e9cuter sous les syst\u00e8mes Windows, Linux et ESXi. \u00c9videmment, le groupe <a href=\"https:\/\/www.zdnet.com\/article\/this-sneaky-ransomware-is-now-targeting-linux-servers-too\/\" target=\"_blank\" rel=\"noopener nofollow\">LockBit<\/a> pouvait difficilement ignorer cette tendance\u00a0: il a aussi commenc\u00e9 \u00e0 proposer des versions ESXi de ses programmes malveillants \u00e0 ses associ\u00e9s.<\/li>\n<li>Quant aux attaques plus anciennes, mais malheureusement efficaces, on trouve les campagnes RansomEXX et QNAPCrypt, qui <a href=\"https:\/\/www.kaspersky.com\/blog\/linux-security-hybrid-cloud\/41259\/\" target=\"_blank\" rel=\"noopener nofollow\">ont touch\u00e9 les serveurs Linux<\/a> de premi\u00e8re cat\u00e9gorie.<\/li>\n<\/ul>\n<h2>Les m\u00e9thodes utilis\u00e9es pour attaquer le serveur<\/h2>\n<p>L\u2019acc\u00e8s aux serveurs Linux repose g\u00e9n\u00e9ralement sur l\u2019exploitation de vuln\u00e9rabilit\u00e9s. Les cybercriminels peuvent transformer en arme les vuln\u00e9rabilit\u00e9s du syst\u00e8me d\u2019exploitation, des serveurs Web et d\u2019autres applications basiques, mais aussi d\u2019applications d\u2019entreprise, de bases de donn\u00e9es et de syst\u00e8mes de virtualisation. Comme nous l\u2019avons <a href=\"https:\/\/www.kaspersky.fr\/blog\/log4shell-critical-vulnerability-in-apache-log4j\/18255\/\" target=\"_blank\" rel=\"noopener\">d\u00e9montr\u00e9 l\u2019an dernier avec Log4Shell<\/a>, vous devez faire particuli\u00e8rement attention aux vuln\u00e9rabilit\u00e9s des composants open source. Apr\u00e8s une faille initiale, plusieurs souches du ran\u00e7ongiciel utilisent d\u2019autres astuces ou exploitent d\u2019autres vuln\u00e9rabilit\u00e9s pour \u00e9lever les privil\u00e8ges et chiffrer le syst\u00e8me.<\/p>\n<h2>La protection des serveurs Linux est la priorit\u00e9<\/h2>\n<p>Pour minimiser les risques d\u2019attaques qui visent les serveurs Linux nous vous conseillons de\u00a0:<\/p>\n<ul>\n<li>Corriger rapidement les vuln\u00e9rabilit\u00e9s.<\/li>\n<li>Minimiser le nombre de ports et de connexions Internet ouverts.<\/li>\n<li>D\u00e9ployer des <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/cloud-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">outils de s\u00e9curit\u00e9 sp\u00e9cialis\u00e9s<\/a> sur les serveurs pour prot\u00e9ger le syst\u00e8me d\u2019exploitation ainsi que les machines virtuelles et les conteneurs h\u00e9berg\u00e9s sur le serveur. <a href=\"https:\/\/www.kaspersky.com\/blog\/linux-security-hybrid-cloud\/41259\/\" target=\"_blank\" rel=\"noopener nofollow\">Lisez cet article pour en savoir plus sur la protection de Linux<\/a>.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"18935\">\n","protected":false},"excerpt":{"rendered":"<p>Les syst\u00e8mes Linux et ESXi sont de plus en plus victimes d\u2019attaques de ran\u00e7ongiciels. Comment prot\u00e9ger vos serveurs ?<\/p>\n","protected":false},"author":2581,"featured_media":20482,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[4377,623,204,1270,527,4107],"class_list":{"0":"post-20481","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-esxi","10":"tag-linux","11":"tag-menaces","12":"tag-rancongiciel","13":"tag-technologie","14":"tag-vmware"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/linux-vmware-esxi-ransomware-attacks\/20481\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/linux-vmware-esxi-ransomware-attacks\/25554\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/20973\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/28180\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/linux-vmware-esxi-ransomware-attacks\/25849\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/26242\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/linux-vmware-esxi-ransomware-attacks\/28727\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/linux-vmware-esxi-ransomware-attacks\/35166\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/47988\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/linux-vmware-esxi-ransomware-attacks\/21162\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/linux-vmware-esxi-ransomware-attacks\/30054\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/linux-vmware-esxi-ransomware-attacks\/33801\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/linux-vmware-esxi-ransomware-attacks\/26170\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/linux-vmware-esxi-ransomware-attacks\/31858\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/linux-vmware-esxi-ransomware-attacks\/31542\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/rancongiciel\/","name":"ran\u00e7ongiciel"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20481","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20481"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20481\/revisions"}],"predecessor-version":[{"id":20484,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20481\/revisions\/20484"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20482"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}