Attaque via VMware ESXi: les premières victimes suisses se sont formellement signalées (update)
La cyberattaque infectant des systèmes ESXi avec un ramsomware a fait des victimes suisses. Le NCSC annonce avoir enregistré une demi-douzaine de signalements.
Mise à jour du 22 février 2023: Depuis début février, des cybercriminels attaquent à tour de bras les serveurs ESXi de VMware, en profitant d’une faille dans des serveurs non patchés. Dans sa dernière rétrospective hebdomadaire, le NCSC indique avoir reçu jusqu'ici une demi-douzaine de signalements à ce sujet de la part d'entreprises locales. A titre de comparaison, l'autorité américaine de cybersécurité (CISA) et la police fédérale locale (FBI) estiment à 3800 le nombre de serveurs chiffrées par des pirates dans le monde.
Le NCSC rappelle que les attaques se font par le biais de failles de sécurité pour lesquelles des correctifs sont disponibles depuis environ deux ans. Le NCSC recommande donc vivement d'appliquer immédiatement toutes les mises à jour.
News du 9 février 2023:
La vague actuelle de cyberattaques visant les systèmes ESXi de VMware s'étend. Après les agences spécialisées italiennes et françaises, l'Office fédéral allemand de la sécurité informatique (BSI) fait également état de plus d'une centaines d'organisations touchées en Allemagne.
> News originale du 06.02.2023: Cyberattaque massive via une faille dans l'hyperviseur ESXi de VMware
La Suisse ne semble pas être épargnée. Bien qu'aucune victime ne se soit déclarée directement, le Centre national de cybersécurité (NCSC) indique avoir connaissance d'une centaine de systèmes vulnérables en Suisse, dont dix ont déjà été cryptés avec succès par des cybercriminels. L'agence relève avoir contacté différents fournisseurs d'accès à Internet en Suisse afin qu'ils informent leurs clients de la faille en question.
Le NCSC souligne par ailleurs que la faille incriminée (CVE-2021-21972) est ancienne et que des correctifs sont disponibles depuis février 2021. Le NCSC en appelle une fois de plus à la responsabilité individuelle des entreprises pour qu'elles exploitent leurs systèmes conformément aux "meilleures pratiques" établies et appliquent les correctifs de sécurité en temps utile. L'agence relève que l'attaque en cours s'apparente à des attaques passées au mode opératoire comparable - vulnérabilités d'Exchange, Fortinet, Pulse VPN ou Sonicwall - contre lesquelles le NCSC a fait des mises en garde régulières ces dernières années.
L'agence américaine publie un script de récupération
Pour venir en aide aux organisations touchées, l'agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) a publié un script sur Github, qui tente de restaurer les fichiers des serveurs attaqués.
Le script profite du fait que les ransomwares diffusés par les cybercriminels ne cryptent souvent que de petits fichiers dans lesquels sont stockées en priorité des informations structurelles. Les gros fichiers, qui contiennent les données importantes des serveurs virtuels attaqués, sont moins souvent chiffrés par le malware, explique Bleeping Computer.
