Titre : Comment les cyber-espions chinois exploitent les failles d’ESXi pour attaquer les systèmes
Les cyber-espions chinois ciblent les instances vulnérables d’ESXi, l’hyperviseur de type 1 de VMware, pour mener leurs attaques. Cette tendance inquiétante a été révélée par le gang de ransomwareMalware qui chiffre les fichiers et demande une rançon. Blocage des fichiers comptables via LockBit. CERT-FR Scattered Spider et met en lumière l’importance de la sécurité des systèmes informatiques.
ESXi, un hyperviseur de plus en plus prisé par les cybercriminels
ESXi est un hyperviseur de type 1 qui permet de créer et de gérer des machines virtuelles sur un serveur physique. Il est notamment utilisé par de nombreuses entreprises pour héberger leurs systèmes et applications. Malheureusement, cette popularité fait également d’ESXi une cible de choix pour les cybercriminels.
En effet, le gang de ransomwareMalware qui chiffre les fichiers et demande une rançon. Blocage des fichiers comptables via LockBit. CERT-FR Scattered Spider a récemment révélé avoir exploité des failles d’ESXi pour mener ses attaques. Ces cybercriminels ont réussi à accéder à des instances vulnérables d’ESXi, puis à y déployer leur ransomwareMalware qui chiffre les fichiers et demande une rançon. Blocage des fichiers comptables via LockBit. CERT-FR pour extorquer de l’argent aux victimes. Cette technique, appelée “ransomware-as-a-service”, permet aux cybercriminels de cibler un grand nombre de systèmes en même temps et de générer des profits importants.
Une méthode d’attaque sophistiquée et difficile à détecter
Pour accéder aux instances d’ESXi, les cyber-espions chinois ont utilisé une méthode sophistiquée qui leur a permis de contourner les mesures de sécurité habituelles. Ils ont exploité une vulnérabilité dans le protocole de gestion à distance d’ESXi, appelé “vSphere Web Client”. Cette faille permet aux attaquants d’exécuter du code à distance sur les serveurs vulnérables, sans laisser de traces.
De plus, les cybercriminels ont utilisé des techniques d’ingénierie sociale pour tromper les utilisateurs et les inciter à télécharger des fichiers malveillants. Ces fichiers contiennent un script qui exploite la faille d’ESXi et permet aux attaquants de prendre le contrôle des serveurs.
Comment se protéger contre ces attaques ?
Face à cette menace grandissante, il est essentiel pour les entreprises de protéger leurs instances d’ESXi. Voici quelques mesures à prendre pour renforcer la sécurité de ces systèmes :
– Mettre à jour régulièrement ESXi et tous ses composants, notamment vSphere Web Client, pour corriger les failles connues.
– Utiliser des mots de passe forts pour les comptes ESXi et limiter l’accès à ces comptes.
– Mettre en place des règles de sécurité strictes pour l’accès à distance à ESXi.
– Former les utilisateurs à détecter et à éviter les techniques d’ingénierie sociale utilisées par les cybercriminels.
En suivant ces recommandations, les entreprises peuvent réduire le risque d’attaque et protéger leurs données et systèmes contre les cyber-espions chinois et d’autres cybercriminels. La sécurité informatique est un enjeu majeur pour toutes les entreprises, et il est important de rester vigilant et de prendre les mesures nécessaires pour se protéger contre les menaces.