Ce que l’on sait des rançongiciels pour VMware ESXi

Quels ransomwares s’attaquent à ESXi ?

Le ransomware pour Linux de RansomExx a été découvert à l’automne 2020, dans la douleur. Sur Reddit, un administrateur système exprimait alors son étonnement : « l’environnement d’un client est entièrement tombé et toutes les machines virtuelles ont été éteintes ». Et cela pour un total de 200 VM, dont tous les fichiers s’y rapportant, jusqu’aux images disques, avaient été chiffrés. Kaspersky avait rapidement documenté le ransomware en question, un maliciel de chiffrement conçu pour les systèmes Linux x86. 

DarkSide s’y mettra durant l’été 2020. Mais les choses s’accélèrent en 2021. En mars de cette année-là, Babuk s’est mis spécifiquement à viser les serveurs ESXi, en plus bien sûr, des machines Windows, mais également des NAS – à processeur x86 comme ARM. Cette approche n’est probablement pas passée inaperçue et plusieurs franchises de rançongiciel ont suivi cet exemple dans les mois suivants avec, par ordre chronologique : Pysa, Ragnar, REvil (Sodinokibi), HelloKitty, Hive, et encore Conti. Pour ce dernier, le développement avait commencé à l’été 2021 et la variante ESXi du ransomware a commencé à être utilisée à l’automne 2021.

En 2022, d’autres franchises se sont jointes au mouvement : LockBit, AvosLocker, Alphv/BlackCat, mais aussi CheersCrypt (basé sur le code de Babuk, comme beaucoup grâce à sa divulgation publique), Black Basta, GwisinLocker, RedAlert, ou encore Luna, et Monti (sur une variante de Conti). Cl0p s’est quant à lui doté d’un maliciel de chiffrement pour systèmes Linux. Début 2023, la franchise Nevada a été découverte, avec un ransomware écrit en Rust et disponible à la fois pour Windows et Linux/ESXi. Et en avril 2024, c'est le ransomware Linux/ESXi/NAS de Trigona qui était découvert.

Quelques jours après le début de la campagne ESXiArgs, c’est la variante Linux/ESXi de Royal qui était débusquée. Le 7 mars 2023, Will Thomas, chercheur en renseignement sur les menaces chez Equinix, levait le voile sur deux dérivés de Babuk liés à RansomHouse, Mario ESXi, et Darkangelteam. Deux jours plus tard, SentinelOne révélait l’existence d’une version Linux/ESXi du rançongiciel IceFire. Et il faut compter avec le variant Linux/ESXi de BabLock/Rorschach ou encore celui de Money Message, observé pour la première fois en mars 2023, ainsi que celui de RTM Locker. Fin juin 2023, un nouveau ransomware Linux/ESXi utilisé par Monti était découvert.

Le ransomware de NoEscape pour Linux/ESXi a de son côté été documenté pour la première fois début juin 2023 : là, on trouve un exécutable ELF utilisé pour le chiffrement à proprement parler, invoqué par un script Shell chargé notamment d’arrêter les machines virtuelles et d’analyser les volumes de stockage accessibles. 

Tout récemment, Lawrence Abrams, de Bleeping Computer, a pu se pencher sur celui de Qilin – initialement connu sous le nom de Agenda –, qui fonctionne selon la même logique, mais avec une subtilité : le script Shell intègre des commandes « qui ont probablement été copiées à partir de bulletins de support de VMware afin de résoudre un bogue connu d’épuisement de la mémoire, et d’améliorer les performances lors de l’exécution de commandes ESXi sur le serveur ». 

Des outils plus artisanaux

ESXiArgs n’est pas le seul ransomware à ne pas embarquer de capacités intégrées d’énumération et d’arrêt des machines virtuelles : cela valait déjà pour Babuk, mais aussi pour Luna, BlackBasta, ou encore le variant Linux d’Akira découvert en juin 2023. L’énumération et l’arrêt des VM doivent donc être réalisés soit manuellement par l’attaquant, soit via un script Shell automatisant le processus complet. 

Tout récemment, des serveurs ESXi d’IxMetro, la filiale chilienne de PowerHost, ont été chiffrés avec un rançongiciel appelé SEXi. Ce dernier semble basé sur le code source de Babuk, selon Will Thomas. Et cette attaque pourrait s’inscrire dans le cadre d’une campagne plus vaste ayant concerné également des organisations au Pérou, au Mexique, et en Thaïlande.

Accessoirement, des rançongiciels basés uniquement sur des langages interprétés ont été antérieurement observés. En juin 2021, SentinelOne documentait ainsi DarkRadiation, détournant bash pour viser les systèmes Linux et les conteneurs Docker. Quelques mois plus tard, Sophos détaillait un script Python utilisé pour s’en prendre à un serveur ESXi.

Initialement publié le 27 février 2023. Mis à jour le 7 mars 2023, le 9 mars 2023, le 5 avril 2023, le 21 avril 2023, le 29 juin 2023, le 14 septembre 2023, le 4 décembre 2023, le 4 avril 2024, et le 11 avril 2024.