Grosse cyberattaque en cours touchant plusieurs pays

De nombreux serveurs dans le monde ont été compromis par des cyberattaques visant injecter un ransomware, ou rançongiciel, pouvant affecter de nombreuses entreprises, des hébergeurs à leurs clients.

L'Italie a indiqué ce dimanche 5 février 2023, via son agence de presse ANSA et l'agence de cybersécurité italienne ACN, être visée par cette cybermenace qui a sans doute déjà touché des dizaines d'entreprises, tout en soulignant que d'autres pays sont également visés, comme la France et la Finlande, avec des ramifications jusqu'aux Etats-Unis et au Canada.

L'heure est à la mise en place de défenses pour éviter le blocage des systèmes informatiques et l'agence américaine de cybersécurité CISA est en train d'étudier l'impact de cette cybermenace d'ampleur.

Le ransomware Nevada est dans la place

La porte d'entrée serait une vulnérabilité logicielle permettant de compromettre les serveurs utilisant la couche de machines virtuelles ESXi de VMWare. La faille n'est pas nouvelle et un correctif avait été apporté en février 2021 mais tous les serveurs n'ont pas été mis à jour et les pirates en profitent pour injecter un malware de type ransomware dans le cadre d'une attaque coordonnée.

En France, une alerte concernant des attaques sur le logiciel serveur ESXi avait été lancée dès le vendredi 3 février. Plusieurs hébergeurs, comme OVHCloud ou Scaleway semblaient particulièrement visés avec à la clé l'injection d'une variante du rançongiciel Nevada.

La dangerosité du groupe de hackers gérant le ransomware avait été récemment signalée par son intense campagne de recrutement d'affiliés chargés de mener les attaques proprement dites avec les outils mis à leur disposition.

Ce dernier chiffre les données sur les serveurs et réclame une rançon de plusieurs dizaines de milliers d'euros pour le déverrouillage, bloquant des applications et services.

Haro sur les serveurs ESXi non patchés

La recommandation est évidemment de mettre à jour les infrastructures ESXi 6.x vers la nouvelle version ESXi 7.0 (proposée depuis un an) ou de les déconnecter pour éviter une intrusion.

Au moment du signalement à la veille du week-end, les grands hébergeurs américains semblaient être épargnés par l'attaque, pointant l'hypothèse d'un ciblage contre les hébergeurs français et européens, et plus particulièrement contre leurs clients dont les mises à jour serveurs sont en retard.

Selon La Tribune, les rançons s'élèvent pour les entreprises touchées à 2 bitcoins ou plus, soit autour de 43 000 € pour avoir accès à un logiciel censé inverser le cryptage des données du ransomware, avec un paiement sous trois jours sous peine de faire grimper le montant de la rançon.

La faille exploitée dans le logiciel ESXi se situe à un niveau normalement uniquement accessible aux administrateurs et qui permet un contrôle étendu des serveurs. Il est alors très facile de bloquer tout ce qui s'y trouve.

Mais actuellement, même une mise à jour vers la dernière version ne suffira sans doute pas et il est recommandé une analyse complète des systèmes, en quête de code malveillant qui a pu être déposé avant l'attaque.