Est-ce que votre machine virtuelle VMware ESXi est menacée par la version Linux du ransomware RansomHub ? Découvrez comment vous protéger !

Dans le monde de la virtualisation, la sécurité des machines virtuelles est une priorité absolue. Avez-vous entendu parler du ransomware RansomHub et de sa version Linux ? Si vous utilisez VMware ESXi, il est important de prendre des mesures pour vous protéger contre cette menace. Découvrez dans cet article comment sécuriser votre machine virtuelle et éviter d’être victime de ce ransomware.

RansomHub : Une nouvelle menace pour vos environnements virtualisés

Le ransomware RansomHub est une opération de ransomware-as-a-service (RaaS) lancée en février 2024. Cette opération compte déjà plus de 45 victimes réparties dans 18 pays. Ce ransomware présente une particularité redoutable : il a la capacité d’attaquer les environnements virtualisés VMware ESXi grâce à une version Linux conçue spécifiquement à cet effet.

Pourquoi VMware ESXi est-il une cible privilégiée?

De nombreuses entreprises ont adopté les machines virtuelles pour la gestion de leurs ressources CPU, mémoire et stockage. Cette adoption a rendu les environnements ESXi des cibles attrayantes pour les attaques de ransomware, car un chiffrement réussi peut paralyser une grande partie des opérations d’une entreprise. RansomHub a ainsi développé un encryptor compatible ESXi qui peut spécifier des options de commande pour détourner ces environnements.

Fonctionnalités du chiffreur ESXi de RansomHub

Ce chiffreur prend en charge diverses commandes spécifiques à ESXi, telles que :

• ‘vim-cmd vmsvc/getallvms’ pour lister toutes les machines virtuelles.
• ‘vim-cmd vmsvc/snapshot.removeall’ pour supprimer tous les snapshots.
• ‘esxcli vm process kill’ pour arrêter les machines virtuelles ciblées.

Le chiffreur utilise également des schémas d’encryptage avancés comme ChaCha20 combiné à Curve25519 pour générer des clés publiques et privées, en chiffrant partiellement les fichiers importants pour des performances optimisées.

Comment les entreprises peuvent-elles se protéger?

Pour se défendre contre ce ransomware, les entreprises peuvent exploiter une lacune dans le chiffreur ESXi de RansomHub. Ce dernier vérifie la présence d’un fichier nommé /tmp/app.pid pour identifier s’il est déjà en cours d’exécution. Si ce fichier contient -1, le ransomware entre alors dans une boucle infinie en tentant de tuer un processus inexistant.

Mise en place d’une protection préventive

Voici quelques étapes à suivre pour se protéger :

• Créer un fichier /tmp/app.pid sur vos serveurs ESXi.
• Inscrire la valeur -1 dans ce fichier.

Cette méthode permettra de neutraliser le ransomware tant que la faille persiste. Toutefois, il est crucial de noter que les opérateurs de ransomware pourraient corriger ce bug dans de futures versions.

Surveillance et détection proactive

En plus de cette approche, il est recommandé d’implémenter des mesures de surveillance pour identifier toute activité suspecte. Désactiver les journaux système et autres services critiques pourrait indiquer une attaque potentielle. Mettre en place des solutions de détection d’intrusion (IDS) et de prévention (IPS) peut également renforcer votre défense.

Protéger vos environnements VMware ESXi contre les ransomwares comme RansomHub nécessite une approche proactive et une surveillance continue. En exploitant les vulnérabilités connues et en implémentant des mesures de sécurité robustes, vous pouvez réduire efficacement les risques liés à ces attaques malveillantes.