Ransomware : LockBit s’intéresse aux environnements Proxmox

Le ministère américain de la Justice vient de rendre public l’acte d’inculpation de Rostislav Panev. Il s’agit d’un ressortissant israélien arrêté à son domicile, à Haïfa, au mois d’août dernier. Il serait l’un des cadres de la franchise mafieuse LockBit, et l’un des développeurs de son ransomware.

La Justice américaine a demandé son extradition, de même, selon toute vraisemblance, que les autorités françaises.

L’acte d’inculpation recèle une information pour le moins intéressante : « les développeurs de LockBit travaillent également à deux autres versions du builder », afin de pouvoir s’attaquer aux systèmes Proxmox et Nutanix. Car « Proxmox et Nutanix sont deux entreprises légitimes qui proposent des services et technologies de virtualisation ; ces builders apparaissent conçus pour viser les systèmes informatiques de victimes exploitant cette technologie ».

Les opérateurs de rançongiciel visent les environnements virtualisés avec VMware ESXi depuis au moins juillet 2020. Mais voilà, tant Nutanix que Proxmox bénéficient d’un intérêt renforcé des clients désenchantés de VMware.

Dans un entretien avec LeMagIT, Fabian Grünbichler, l’un des développeurs de Proxmox expliquait qu’il s’agit « essentiellement d’une distribution Debian qui exécuteur un hyperviseur basé à la fois sur QEMU, KVM, et les containers LXC » : « je parle bien du système de containerisation intégré à Linux, au niveau système, pas d’un moteur d’applications en containers du genre Docker ».

Et de préciser que l’idée est de « virtualiser des serveurs applicatifs ou fonctionnels soit sous la forme d’une VM si son OS est particulier, soit sous la forme d’un container s’il peut fonctionner à partir d’une Debian. Sachant que vous mettez bien plus d’instances virtuelles en containers qu’en VM sur une machine physique. Typiquement, vous exécuterez des centaines de serveurs applicatifs en containers sur un petit serveur physique qui ne peut exécuter que des dizaines de VM ».

La solution s’administre en ligne de commande, via une interface Web, ou encore une API, après installation d’une base bare-metal, distribuée sous la forme d’un fichier ISO, « comme n’importe quelle autre distribution Linux » : « vous le téléchargez, vous démarrez votre machine à partir de celui-ci, vous installez son contenu ». 

Veeam encourage les PME à passer à Proxmox. Naviko a récemment ajouté le support de Proxmox à sa solution de sauvegarde de Cloud à Cloud. Quant à Nutanix, son Pdg, Rajiv Ramaswami, indiquait, en mars dernier, ne pas s’attendre à une migration rapide des utilisateurs de VMware vers ses produits, « mais ils migreront. Au fur et à mesure. Car nous réunissons les conditions pour que cela leur soit favorable ».

Quelle que soit la rapidité d’adoption des alternatives à VMware pour la virtualisation des infrastructures IT en entreprise, il ne fait aucun doute qu’elle sera suivie de près par les opérateurs de ransomware. De tels environnements représentent une bien trop belle opportunité d’avoir un impact majeur sur l’activité de leurs victimes… et d’augmenter ainsi leurs chances d’en obtenir le versement d’une rançon.