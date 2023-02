Arnaud de Bermingham, fondateur et de président de Scaleway, sonnait l’alarme peu après 14h30, ce vendredi 3 février, sur Twitter : « si vous utilisez ESXi 6.x, mettez à jour immédiatement, un cryptolock est en train de se propager à toute vitesse ». Ikoula l’avait précédé de quelques minutes. Mais pour beaucoup, c’était déjà trop tard.

Peu après 12h40, Nice Météo 06 indiquait rencontrer un problème sur son serveur informatique. Une heure après, son cofondateur explique : « la machine est un hôte ESXi, et on me demande 2 BTC ». Son cas n’est pas isolé.

Le serveur ESXi 6.7 d’un client espagnol d’OVHcloud est également frappé. Le montant demandé est le même. La radio H2O Chambery semble également concernée. Fanampiana évoque un « problème technique » de son serveur OVH. Des clients de l’allemand Hetzner semblent aussi affectés.

Quel ransomware ? Toutes les demandes de rançon liées à cette campagne que nous avons pu consulter exigent le même montant : un peu plus de 2 bitcoins, sous trois jours. Les adresses de paiement sont différentes pour chaque victime, mais l’identifiant de messagerie instantanée chiffrée Tox ne change pas. La rumeur a, un temps, fait référence au ransomware Nevada tout récemment mentionné par ReSecurity. Mais la demande de rançon observée sur les serveurs ESXi compromis aujourd’hui ne correspond pas : elle rappelle plutôt celle du rançongiciel CheersCrypt. En l’absence d’échantillon disponible à l’heure de publier ces lignes, il est toutefois impossible d’arriver à une conclusion. Reste que Nevada est un ransomware déployé dans le cadre d’attaque manuelles, à l’instar d’Avos, de BlackCat, de LockBit, par exemple. Autant de ransomware dits « manually operated » qui disposent d’une variante Linux/ESXi. La campagne lancée ce 3 février contre les serveurs ESXi ressemble plutôt à une opération automatisée de grande ampleur profitant de l’exploitation de vulnérabilités pour lesquelles les correctifs n’ont pas été appliqués. De quoi rappeler des campagnes comme celles ayant touché des NAS, avec Qlocker, eCh0raix ou DeadBolt. En quelques heures, le moteur de recherche spécialisé Shodan a déjà recensé 69 systèmes ESXi compromis à travers le monde, dont 25 rien qu’en France. OVHcloud arrive clairement en première ligne dans ces données.