Ransomware : LockBit gonfle les rangs de ceux qui s’attaquent à ESXi
Le groupe LockBit avait annoncé à l’automne un outil de chiffrement dédié aux systèmes Linux et aux hôtes ESXi. Les premiers échantillons ont été pleinement analysés. Les environnements virtualisés sont plus menacés que jamais.
Junestherry Dela Cruz, analyste chez Trend Micro, vient de publier ses travaux sur la version Linux et ESXi du ransomware LockBit. Celle-ci avait été annoncée à l’automne. Une règle Yara est désormais disponible pour ceux qui souhaitent aller à la chasse aux échantillons.
LockBit est permet ainsi à l’attaquant d’établir une liste des machines virtuelles s’exécutant sur un hôte ESXi et de les arrêter une à une. L’outil permet également d’activer le service SSH ou encore d’examiner le système de stockage utilisé par l’environnement virtualisé.
La franchise mafieuse LockBit 2.0 vient notamment de s’illustrer en revendiquant une cyberattaque contre le ministère de la Justice en France, ainsi que la ville de Saint-Cloud. Avant cela, l’un de ses affidés a réussi à voler du code source à Thales. Durant l’été 2021, Accenture avait été attaqué avec ce même ransomware.
Mais LockBit n’est que le dernier des rançongiciels disposant d’un variant taillé pour les environnements virtualisés avec l’hyperviseur ESXi de VMware. Ils sont aujourd’hui plus d’une dizaine.
The 15 #Ransomware variants that have targeted VMware ESXi by my count, organised by date the capability was confirmed by the media or a vendor.
— Will | Bushido (@BushidoToken) January 26, 2022
N.B. the group may have stated on a forum that they have an ESXi version, but cybercriminals are not the most reliable of sources https://t.co/uj9YqNNLFR pic.twitter.com/tksNELu2v1
Début janvier, le premier échantillon du variant d’AvosLocker pour ces environnements a été découvert. Selon nos sources, la franchise AvosLocker rencontre un succès croissant, à l’instar de Hive. Mais les versions Windows d’AvosLocker présentent un niveau de maquillage particulièrement élevé et multiplient les mécanismes destinés à éviter la détection. De fait, les échantillons publiquement identifiés comme AvosLocker apparaissent encore rares, du moins par rapport à d’autres franchises de rançongiciel en mode service.
Avant cela, d’autres franchises de ransomware se sont attaquées aux hôtes ESXi, dont BlackCat, et Hive pour les plus récents. Avant eux, HelloKitty, Revil/Sodinokibi, DarkSide, BlackMatter, Conti ou encore Babuk et RansomExx avaient compris toute la valeur qu’ils pouvaient retirer en s’attaquant à ces environnements.