More

    Les ransomware ciblent les serveurs VMware ESXi en France et Nord-Amérique

    France, États-Unis

    Les instances ESXi, régulièrement ciblées par des groupes de cybercriminels, sont actuellement sous le feu d’attaques de ransomware orchestrées par le groupe Scattered Spider. Le FBI a récemment émis une alerte concernant cette cybermenace qui affecte principalement les secteurs aérien et financier.

    Une menace persistante pour les serveurs ESXi

    Les serveurs hébergeant des instances virtualisées basées sur l’hyperviseur de type 1 ESXi de VMware sont depuis longtemps la cible de cyberattaques. Des incidents similaires avaient été signalés auparavant, notamment en 2023 et un an plus tard avec des attaques liées au ransomware Play. Fin juin, le FBI a remarqué que Scattered Spider avait élargi ses opérations à des secteurs sensibles tels que l’aérien, la finance, et l’industrie pharmaceutique.

    “Ces acteurs ont recours à des techniques d’ingénierie sociale, se faisant souvent passer pour des employés ou des sous-traitants afin de tromper les services d’assistance informatique et obtenir un accès”, a averti l’agence américaine. “Ces techniques incluent souvent des méthodes contournant l’authentification multifactorielle (MFA), comme convaincre les services d’assistance d’ajouter des terminaux MFA non autorisés à des comptes compromis. Une fois à l’intérieur, les membres de Scattered Spider volent des données sensibles à des fins d’extorsion et déploient fréquemment des ransomwares.”

    Analyse des vecteurs d’infection

    Récemment, l’équipe de chercheurs en sécurité de Mandiant (Google) a précisé le mode opératoire et les vecteurs d’infection de UNC3944, un cybergang également connu sous les noms de 0ktapus et Octo Tempest. Bien que ces cibles aient été principalement détectées en Amérique du Nord, les chercheurs ont identifié cinq phases distinctes de l’attaque par ransomware visant les instances ESXi :

    • Compromission initiale
    • Reconnaissance et escalade
    • Latéralisation sur vCenter et compromission du control plane
    • Vol et exfiltration d’informations d’identification hors ligne
    • Sabotage de la sauvegarde et des mesures de sécurité, suivi de l’exécution du rançongiciel et du chiffrement des données

    Préconisations de sécurité

    Pour se prémunir de ce type d’attaque, Mandiant recommande plusieurs mesures de sécurité. Parmi elles :

    • Ne pas relier les hôtes ESXi à Active Directory
    • Bloquer l’accès direct au shell via SSH
    • Implémenter l’authentification multifactorielle pour les VPN, les logins vCenter et les comptes à privilèges de l’Active Directory
    • Transférer tous les logs provenant d’Active Directory, vCenter, ESXi, de l’infrastructure réseau, des pare-feu et des sauvegardes vers un SIEM
    • Corréler les journaux provenant de ces sources pour créer des scénarios de détection capables de repérer les mouvements des pirates

    “La stratégie d’UNC3944 exige un changement fondamental dans la stratégie défensive, passant d’une recherche des menaces basée sur l’EDR à une défense proactive centrée sur l’infrastructure”, prévient l’éditeur.

    LAISSER UN COMMENTAIRE

    S'il vous plaît entrez votre commentaire!
    S'il vous plaît entrez votre nom ici


    Actualités

    L’acteur de Friends, Matthew Perry, décède à 54 ans

    "Matthew Perry, célèbre pour son rôle de Chandler Bing dans Friends, décède à 54 ans. Acteur très apprécié, sa mort suscite l'émotion mondiale."

    Entité sioniste déploie des navires de guerre en Mer Rouge selon un expert militaire

    Entité sioniste déploie des navires de guerre en Mer Rouge pour contrer les Houthis au Yémen, une manœuvre vue comme une démonstration de force envers l'Iran.

    L’affaire des SMS entre Pfizer et la Commission européenne : ce qu’il faut savoir

    En avril 2021, le New York Times a révélé...

    Banque suisse : Credit Suisse en chute libre après la faillite de la SVB

    L'action de Credit Suisse a dévissé de plus de...

    Le Retour de Microsoft avec Bing et Edge : Une Menace pour Google ?

    Depuis moins de trois mois, ChatGPT a déjà créé...

    Victor Willis, chanteur et cofondateur des Village People, est mort à 74 ans

    Victor Willis, chanteur principal et cofondateur du groupe disco...

    Mbappé rejoint Messi, Olise chasse Pelé : les chiffres qui changent le Mondial 2026

    Après France-Suède (3-0), Mbappé rejoint Messi à six buts dans le Mondial 2026 et Olise se rapproche du record de passes de Pelé.

    MiCA entre pleinement en application le 1er juillet 2026 : ce que cela change pour les plateformes crypto en France

    Le règlement européen MiCA devient pleinement applicable ce 1er juillet 2026. Sur les 75 entreprises concernées en France, 18 ont obtenu l'agrément CASP. Les autres cessent leur activité ou basculent dans l'illégalité.

    Présidentielle 2027 : les dates des 18 avril et 2 mai confirmées

    L'élection présidentielle de 2027 aura lieu les dimanches 18 avril et 2 mai. Les dates seront officialisées mercredi en Conseil des ministres.

    Canicule : un troisième épisode attendu en France à partir du week-end

    Météo France annonce un troisième épisode caniculaire à partir du week-end. Les températures baisseront mercredi et jeudi avant de remonter vendredi dans la moi

    Perquisitions au RN dans une enquête européenne sur les fonds du groupe ID

    Le parquet de l'Union européenne mène des mesures d'enquête en France sur l'usage de fonds européens par le groupe Identité et démocratie, où siégeait le RN. De

    à Lire

    Categories