Ransomware Royal : quand une version Linux cible, également, les vulnérabilités sous VMWare ESXi !

Actualités, Buzz du moment, Internet, Sécurité

En Décembre 2022, le HSS (Health and Human Services Department – Etats-Unis) mettait en garde concernant Royal, un ransomware qui semblait prioriser les entreprises ou les établissements dans le milieu de la santé ou hospitalier. Observé, au moins, depuis Septembre 2022, les cyber-attaquants requiert des rançons oscillant entre 250 000 dollars USD et 2 M de dollars USD. En relation supposée avec Conti du fait de plusieurs points communs dans le modus operandi (jusqu’à l’encrypteur Zeon), la variation du ransomware sous Linux aurait montré des traces d’exécution pour cibler les machines virtuelles VMWare…

Confirmed it's ESXi Linux VMs:
"esxcli vm process kill –type=hard –world-id=%s"
"esxcli vm process list > list"
— Will (@BushidoToken) February 2, 2023

“Confirmé qu’il s’agit de machines virtuelles Linux ESXi : “processus esxcli vm kill –type=hard –world-id=%s” “liste des processus esxcli vm > liste”“, indique BushidoToken (Will Thomas – Equinix Threat Analysis Center).

Le CERT-FR, post-publication initiale, a émis des recommandations, depuis le 5 Février 2023 (actualisé) pour tenter de se prémunir, dans l’urgence du ransomware ESXiArgs :

Isoler le ou les serveur(s) impacté(s),
Effectuer une analyse-système (en plus d’appliquer les correctifs),
Re-installation préconisée de l’hyperviseur (version stable v7.x ou v8.x),
Veille sur les bulletins sécuritaires (continue) de VMWare,
Blocage des accès-administrateur (via pare-feu),
Configuration l’accès distant à l’administrateur-réseau (via VPN ou filtrage IP confiance).

En aparté et depuis le 7 Février 2023, l’analyste sécuritaire relayait le nombre d’entreprises ou d’entités restant sous la coupe des vulnérabilités (et du ransomware ESXiArgs) dont :