Campagne ESXiArgs : pourquoi la France et OVHcloud prévalent parmi les serveurs attaqués ?

[Mise à jour, le 9 février 2023 @ 9h10] Une nouvelle version d'ESXiArgs est actuellement distribuée, y compris sur les machines antérieurement infectées. Cette nouvelle mouture a été corrigée pour tenter de rendre caduques les méthodes de récupération trouvées pour la précédente. Tous les détails ici.

[Article original, le 7 février 2023 @ 16h06] Selon les dernières données du moteur de recherche spécialisé Onyphe, la campagne de cyberattaques avec le rançongiciel ESXiArgs du 3 février 2023 a touché plus de 2 110 serveurs VMware ESXi à travers le monde. La France arrive en tête des pays représentés avec 47,8 % des serveurs constatés, loin devant les États-Unis (15,7 %), le Canada (11,49 %), et l’Allemagne (11,1 %). La prévalence d’OVHcloud est encore plus impressionnante : plus de 72 % des serveurs ESXi attaqués sont hébergés chez le Français, très loin devant l’Allemand Hetzner, ou même Scaleway. Pourquoi ces proportions ?

L’explication n’a probablement rien de géopolitique : de nombreuses entreprises de services numériques (ESN) s’appuient sur les infrastructures d’OVHcloud, et en particulier ses offres bare metal, pour construire leurs propres offres commerciales.

Il y a d’abord des éditeurs de solutions, tels que Timci (immobilier) ou le fournisseur de solutions de streaming Webcastor et la solution de point d’accès WiFi public Ysiact, voire encore l’éditeur d’ERP espagnol DynamizaTIC.

À cela s’ajoutent les agences de création de sites Internet, à l’instar de Zip, à Brest, et Net-Uno à Milan, ou encore NDS en Espagne. Mais surtout, il faut compter avec des hébergeurs… Hebergnity en est un exemple. Son fondateur, Florian Leroy, indiquait sur Twitter, ce 3 février, avoir plus de 2 000 machines virtuelles affectées. Un cas loin d’être isolé.

Les données d’Onyphe font ainsi ressortir un serveur ESXi hébergé chez OVHcloud, mais exploité par EasySpace, et un autre exploité par l’Ukrainien Lead Line, ou encore un pour le Britannique GoldHosts. Au total, OVHcloud nous indique compter 1 100 partenaires channel.

TOP 10 countries & TOP 10 organizations: pic.twitter.com/uKKsFIMNSL

— ONYPHE (@onyphe) February 6, 2023

Florian Leroy a expliqué sa situation sur Twitter : « nous avions développé un système de création de VMs et d’installations des serveurs depuis un script fait maison [qui] ne fonctionnait pas sur les versions ultérieures [d’ESXi] ». Et d’ajouter avoir conscience que ce n’est « pas la meilleure des excuses, mais vu le temps passé à trouver l’idée de comment fonctionne la création et la mise en place de [ce script], nous n’avions pas vraiment envie de retravailler cela ».

Reste que les critiques ne manquent pas. Jean-Philippe Salles, du CERT Société Générale, a ainsi adressé ses remerciements aux « responsables de la campagne de chiffrement sur les ESXi » : « je ne connais pas de meilleur moyen d’assainir l’Internet [français] que ce genre de campagne. Et chiffrement partiel en plus, vraiment nickel ».

Parallèlement, certaines victimes commencent à proposer leurs services pour aider à la restauration. Blue Company indiquait ainsi ce matin, par e-mail, être « à même de réaliser cette opération (assez longue et technique) […] pour un coût qui variera entre 1 000 € et 2 000 € en fonction de la taille de la VM à récupérer ».