Résumé

[Mise à jour du 10 février2023]
Une nouvelle vague d’attaque démarrée le 8 février change la méthode dechiffrement permettant de chiffrer un plus grand volume de données dansles fichiers de grande taille rendant la restauration des données plusdifficile voire impossible.

[Mise à jour du 05 février 2023] Mise à jour du résumé et de lasection 'Solution'.

Le 03 février 2023, le CERT-FR a pris connaissance de campagnesd'attaque ciblant les hyperviseurs VMware ESXi dans le but d'y déployerun rançongiciel.

Dans l'état actuel desinvestigations, ces campagnes d'attaque semblent avoir tiré partide l'exposition d'hyperviseurs ESXi qui n'auraient pas été mis à jourdes correctifs de sécurité suffisamment rapidement. En particulier, leservice SLP semble avoir été visé, service pour lequel plusieursvulnérabilités avaient fait l'objet de correctifs successifs (notammentles vulnérabilités CVE-2020-3992 et CVE-2021-21974, cf. sectionDocumentation). Ces vulnérabilités permettent à un attaquant de réaliserune exploitation de code arbitraire à distance. Des codes d'exploitationsont disponibles en source ouverte depuis au moins mai 2021.

Les systèmes actuellement visés seraient des hyperviseurs ESXi enversion 6.x et antérieures à 6.7.

Cependant, le CERT-FR rappelle que les vulnérabilités affectant SLPconcernent les systèmes suivants :

• ESXi versions 7.x antérieures à ESXi70U1c-17325551
• ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
• ESXi versions 6.5.x antérieures à ESXi650-202102101-SG