Les instances ESXi, régulièrement ciblées par des groupes de cybercriminels, sont actuellement sous le feu d’attaques de ransomware orchestrées par le groupe Scattered Spider. Le FBI a récemment émis une alerte concernant cette cybermenace qui affecte principalement les secteurs aérien et financier.
Une menace persistante pour les serveurs ESXi
Les serveurs hébergeant des instances virtualisées basées sur l’hyperviseur de type 1 ESXi de VMware sont depuis longtemps la cible de cyberattaques. Des incidents similaires avaient été signalés auparavant, notamment en 2023 et un an plus tard avec des attaques liées au ransomware Play. Fin juin, le FBI a remarqué que Scattered Spider avait élargi ses opérations à des secteurs sensibles tels que l’aérien, la finance, et l’industrie pharmaceutique.
“Ces acteurs ont recours à des techniques d’ingénierie sociale, se faisant souvent passer pour des employés ou des sous-traitants afin de tromper les services d’assistance informatique et obtenir un accès”, a averti l’agence américaine. “Ces techniques incluent souvent des méthodes contournant l’authentification multifactorielle (MFA), comme convaincre les services d’assistance d’ajouter des terminaux MFA non autorisés à des comptes compromis. Une fois à l’intérieur, les membres de Scattered Spider volent des données sensibles à des fins d’extorsion et déploient fréquemment des ransomwares.”
Analyse des vecteurs d’infection
Récemment, l’équipe de chercheurs en sécurité de Mandiant (Google) a précisé le mode opératoire et les vecteurs d’infection de UNC3944, un cybergang également connu sous les noms de 0ktapus et Octo Tempest. Bien que ces cibles aient été principalement détectées en Amérique du Nord, les chercheurs ont identifié cinq phases distinctes de l’attaque par ransomware visant les instances ESXi :
- Compromission initiale
- Reconnaissance et escalade
- Latéralisation sur vCenter et compromission du control plane
- Vol et exfiltration d’informations d’identification hors ligne
- Sabotage de la sauvegarde et des mesures de sécurité, suivi de l’exécution du rançongiciel et du chiffrement des données
Préconisations de sécurité
Pour se prémunir de ce type d’attaque, Mandiant recommande plusieurs mesures de sécurité. Parmi elles :
- Ne pas relier les hôtes ESXi à Active Directory
- Bloquer l’accès direct au shell via SSH
- Implémenter l’authentification multifactorielle pour les VPN, les logins vCenter et les comptes à privilèges de l’Active Directory
- Transférer tous les logs provenant d’Active Directory, vCenter, ESXi, de l’infrastructure réseau, des pare-feu et des sauvegardes vers un SIEM
- Corréler les journaux provenant de ces sources pour créer des scénarios de détection capables de repérer les mouvements des pirates
“La stratégie d’UNC3944 exige un changement fondamental dans la stratégie défensive, passant d’une recherche des menaces basée sur l’EDR à une défense proactive centrée sur l’infrastructure”, prévient l’éditeur.