Quel est le point commun entre Darkside et Defray ? Ces deux ransomwares ont chacun une version spécifique à ESXi. C’est en tout cas sur ce trait que CrowdStrike a choisi d’insister.
Darkside avait émergé en août 2020. À la baguette, un groupe cybercriminel qui visait initialement les terminaux point de vente. Il avait commencé à élargir son périmètre d’action au printemps, possiblement en réponse à la réduction d’activité dans le retail avec la pandémie.
La version ESXi du ransomware s’en prend à une dizaine de types de fichiers associés à des VM. Elle emploie un chiffrement en enveloppe qui implique l’algorithme ChaCha20 et une clé maîtresse RSA-4096. L’attaquant peut contrôler le processus pour gagner du temps en ne chiffrant que partiellement les fichiers – juste assez pour empêcher leur restauration.
Pour accéder aux serveurs ESXi, les attaquants utilisent la console vCenter, mais aussi SSH. Ils ont récupéré au préalable des identifiants, généralement à travers un contrôleur de domaine. Darkside vient alors se loger dans le dossier /tmp/, sous un nom générique. Il exploite les scripts VMware pour éteindre les VM et ainsi « libérer » les fichiers à chiffrer.
Plusieurs entreprises françaises figurent sur sa liste de victimes revendiquées. Les dernières en date son OMV System France (usinage de précision), Pénélope (agence d’hôte(sse)s d’accueil) et Wonderbox.
Defray, qu’on connaît aussi sous le nom de RansomEXX, prend lui aussi place dans /tmp/. Alors que sa version Windows s’exécute en mémoire. L’intrusion passe également par l’obtention préalable d’identifiants pour se connecter au serveur. Deux leviers : un module pour les récupérer dans les navigateurs et un autre pour les chercher dans la mémoire de l’hôte.
Une fois déposé, le ransomware s’assure un accès persistant en activant SSH. Il lui arrive de modifier le mot de passe root ou les clés SSH. Il est conçu pour accepter une commande qui lui dicte le chemin du dossier par lequel il doit commencer son chiffrement. Parmi ses capacités figure la désinstallation de l’utilitaire VMware Fault Domain Manager, destiné à relancer les VM qui crashent.
Photo d’illustration © Nmedia – Fotolia
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…