Planète Warez

Un nouveau gang de ransomware surnommé SEXi est parvenu à compromettre l’infrastructure du fournisseur de services chilien IXMetro Powerhost ! Lors de cette attaque, les pirates ont chiffré des serveurs VMware ESXi ainsi que des sauvegardes ! Faisons le point.

PowerHost est un fournisseur de services spécialisés dans les centres de données et l’hébergement, implanté en Amérique du Sud, notamment avec sa division IXMetro présente au Chili, aux États-Unis, et en Europe.

Samedi 30 mars 2024, tôt en début de journée, IXMetro a subi une cyberattaque lors de laquelle les pirates sont parvenus à chiffrer plusieurs serveurs VMware ESXi notamment utilisés pour héberger des serveurs privés virtuels de clients (VPS). De ce fait, les services hébergés sont inaccessibles.

Les équipes d’IXMetro cherchent à restaurer les données de leurs serveurs et de leurs clients à partir de précédentes sauvegardes, mais la tâche ne s’annonce pas simple : les sauvegardes sont également chiffrées. Ricardo Rubem, le CEO de PowerHost, affirme qu’il a essayé de négocier avec les cybercriminels, car il a envisagé de payer la rançon : “J’ai négocié avec le pirate, qui a exigé un montant exorbitant de bitcoins par client : 2 BTC pour chacun, soit environ 140 millions de dollars.”, précise-t-il.

Le ransomware SEXi

Le gang de ransomware SEXi serait une menace relativement récente et cette attaque serait son premier “gros coup” !

, lorsque des fichiers sont chiffrés par ce ransomware, l’extension “.SEXi” est utilisée, et ceux-ci sont accompagnés par une note de rançon nommée “SEXi.txt”.

D’après le site BleepingComputer, ce gang mène des attaques depuis mars 2023, mais cela reste à confirmer. Ce qui est certain, c’est que les cybercriminels du groupe SEXi cible seulement les hyperviseurs VMware ESXi, ce qui en fait une menace supplémentaire pour les infrastructures de virtualisation basées sur la solution VMware by Broadcom.

Pour le moment, nous ignorons si ce gang de ransomware applique le principe de la double extorsion, car à l’heure actuelle, ce gang ne semble pas avoir de site dédié aux fuites de données.

– Source :

https://www.it-connect.fr/les-serveurs-vmware-esxi-un-hebergeur-chiffres-par-le-nouveau-ransomware-sexi/

C’est de bonne guerre, les partenaires qui se sentent abandonnés par VMware commencent à être courtisés par les concurrents, Nutanix en tête qui a déjà dressé 9 prédictions sur les conséquences inattendues de ce VMware by Broadcom. L’auteur de ces prédictions, Lee Caswell, vice-président directeur du marketing des produits et des solutions, le reconnaît, de nombreux clients VMware demandent désormais conseil à Nutanix sur la manière de minimiser leur exposition à ces changements de Broadcom. Il faut dire que Nutanix est l’un des rares acteurs sur le marché à avoir une couverture très large de solutions et services concurrentes de VMware. Connu historiquement pour sa solution HCI, Nutanix s’est transformé en une plate-forme de services multiples cloud (privé, public et/ou hybride) avec comme brique de base son hyperviseur AHV. « Notre réponse, c’est d’abord la continuité de notre positionnement que nous construisons depuis des années. De ce fait, nous sommes aujourd’hui l’alternative la plus complète et crédible du marché, reconnue de notre écosystème de partenaires, lesquels sont formés pour opérer ces migrations », résume Guillaume André, directeur général de Nutanix France. Non seulement, l’éditeur de San José va renforcer son réseau de partenaires mais il fait de même avec ces partenaires technologiques comme Red Hat autour d’OpenShift et, plus récemment, Cisco qui avait arrêté son offre HCI Hyperflex. Typiquement avec ce qui se passe en ce moment, le cas client de Cdiscount, qui a basculé ses milliers de VM sous VMware vers AHV de Nutanix, devrait se reproduire régulièrement, d’ailleurs la coopérative UpCoop (voir cas client en partie 6) est un autre exemple. Et pour faciliter les migrations, Nutanix propose son outil Move. « Nous enregistrons 10 000 workloads migrés chaque mois vers Nutanix », précise d’ailleurs Stéphane Berthaud, directeur technique de Nutanix France.

« Toutes les alternatives ne se valent pas, Nutanix est la plus crédible et complète » Guillaume André, directeur général de Nutanix France. (Crédit Nutanix)
« Toutes les alternatives ne se valent pas, Nutanix est la plus crédible et complète » Guillaume André, directeur général de Nutanix France. (Crédit Nutanix)

De son côté, Jeff Ready, CEO de Scale Computing, compte bien profiter également de l’opportunité pour capter les clients et les partenaires de VMware By Broadcom, il a du reste récemment déclaré au site américain CRN d’avoir enregistrer en un an près de 10 fois plus de demandes de partenaires VMware et d’utilisateurs finaux souhaitant passer à Scale Computing. Des centaines de partenaires auraient ainsi rejoint le fournisseur. Ce dernier a même lancé une offre VMware « Rip and Replace » qui offre aux partenaires une réduction de 25 % sur toute licence VMware passant à Scale Computing. Rappelons que Scale Computing défend son approche hyperconvergée et de virtualisation tout-en-un avec SC//Platform (hyperviseur SC//Hypercore intégré et basé sur KVM) en mettant en avant plusieurs points forts. Déjà la simplicité avec une plate-forme qui peut être configurée en quelques minutes, cette simplicité s’étendant aussi aux fonctionnalités telles que les sauvegardes automatisées, l’allocation des ressources et la mise à l’échelle. Ensuite, la rentabilité, les coûts de licences seraient largement moins chers que ceux de VMware, de l’ordre de 60 à 70 %. Etant donné l’approche tout intégrée de Scale Computing, il n’est en effet pas nécessaire d’acheter des licences distinctes pour les logiciels de virtualisation, le stockage et les solutions de sauvegarde. La sauvegarde intégrée est d’ailleurs, là aussi, un point fort de SC//Platform, cela réduit le besoin de recourir à des fournisseurs tiers. Enfin, Scale Computing vante l’efficacité de son support.

Chez Citrix (désormais Cloud Software Group) qui n’a pas répondu à nos demandes d’interviews, la reprise en main de XenCenter est en cours avec la fin de la version open source. Pour mémoire, XenCenter est une console dédiée à la gestion de Citrix Hypervisor anciennement connu sous le nom XenServer dans des environnements Windows. Quant à l’acquisition de XenSource (créateur de l’hyperviseur open source Xen) par Citrix, elle remonte à 2007. Face à VMware, citons bien sûr Microsoft qui n’a pas non plus souhaité répondre à nos questions sur le sujet. L’éditeur de Redmond s’aligne entre autres avec Hyper-V, son hyperviseur lancé en 2008 qui avait été intégré à Windows Server pour contrer, sans grand succès à l’époque, l’hégémonie de son concurrent. Hyper-V est intégré à la plate-forme d’infrastructure hyperconvergée de Microsoft Azure Stack HCI.

Enfin, pour Mos Amokhtari, directeur solution architecture chez Red Hat, l’objectif n’est pas de remplacer VMware mais d’être dans une logique de modernisation avec cette capacité de passer à des applications cloud native avec virtualisation et conteneurisation. Dans son approche, Red Hat met donc en avant OpenShift Virtualization (voir partie 5), une solution qui permet aux équipes d’administration d’intégrer des machines virtuelles à des workflows conteneurisés en exécutant une machine virtuelle au sein d’un conteneur. De là, elles peuvent déployer et gérer des machines virtuelles parallèlement à des conteneurs, le tout depuis une seule interface. En parallèle à OpenShift Virtualization, Red Hat supporte bien sûr OpenStack déjà en production dans plusieurs organisations, notamment chez certaines grandes banques et quelques grands acteurs de télécommunications. Le rachat de VMware pourrait donc donner un coup de fouet aux entreprises qui souhaitent migrer vers un OpenStack de classe entreprise comme le propose l’éditeur américain.

Les hyperscalers en embuscade

Le rachat de VMware par Broadcom ne profitera-t-il finalement pas aux grands acteurs du cloud public comme Azure, AWS et GCP ? On peut effectivement se poser la question car VMware a historiquement facilité la création de clouds privés dans les entreprises mais a aussi démocratisé une multitude d’opérateurs de clouds publics et hybrides, tous représentant aussi des petits concurrents à ces hyperscalers. Depuis le rachat, la politique menée par Broadcom va dans le sens inverse en se concentrant uniquement sur les plus gros clients et ne semble pas vouloir conserver ce marché des plus petits acteurs. Un signe qui pourrait ainsi encourager cette typologie d’entreprises à délaisser ou à externaliser leur infrastructure VMware vers le cloud public de l’un de ces trois grands acteurs, tout trois étant aussi des partenaires de VMware.

Source : lemondeinformatique.fr

Le cybergang AvosLocker a ajouté à son arsenal d’attaques une version Linux de son ransomware. Il cible les serveurs sur lesquelles les hyperviseurs ESXi de VMWare sont installés. Avec à la clé a déjà des victimes et des demande de rançon atteignant le million de dollars.

Les machines virtuelles ont la cote auprès des pirates. On comprend pourquoi car une seule commande malveillante ciblant cet environnement ESXi de VMware chiffre rapidement des données serveurs sur lesquelles elles sont installées. Et une belle opportunité pour les cybergangs de maximiser les gains. Ils sont ainsi nombreux à l’avoir compris et ont depuis quelques mois conçu des variantes de leurs ransomwares pour s’en prendre aux serveurs hébergeant des hyperviseurs ESXi. C’est le cas par exemple de Babuk, DarkSide, Mespinoza, RansomExx/Defray ou encore dernièrement de REvil.

Dans son sillage, il faudra aussi maintenant compter sur AvosLocker, un groupe de cybercriminels apparu dans le courant de l’été dernier qui n’hésite pas à faire sa publicité sur les forums du dark net pour trouver des affiliés. Positionné sur le juteux créneau du RaaS (Ransomware As A Service),

AvostLocker a lancé en octobre dernier des variantes de ses rançongiciels (

). Le groupe de chercheurs en sécurité MalwareHunterTeam a expliqué qu’AvosLocker avait commencé à utiliser le cryptolocker Linux à partir de novembre 2021.

Une version Linux d’un ransomware taillée ESXi

Pour rappel, ESXi est l’hyperviseur de type 1 de VMware pour créer et exécuter des machines virtuelles. Il s’installe directement au niveau matériel d’un serveur hôte pour gérer plusieurs VM clientes et partager avec elles des ressources virtualisées (mémoire, capacités de calcul…). « La raison pour laquelle la plupart des groupes de ransomwares ont mis en oeuvre une version basée sur Linux de leur ransomware est de cibler spécifiquement ESXi », affirme Fabian Wosarn, CTO d’Emsisoft.

Une fois lancé sur un système Linux, AvosLocker stoppera toutes les machines virtuelles gérées par ESXi sur un serveur à l’aide d’une seule commande. Une fois qu’il tourne sur un système compromis, le ransomware ajoute l’extension .avoslinux à tous les fichiers chiffrés et les notes de rançons sont affichées. Ces dernières précisent de ne pas éteindre les systèmes pour éviter la corruption de fichiers et redirigent vers un lien Tor pour payer une rançon. Cette dernière peut s’avérer particulièrement salée : selon BleepingCOmputer au moins une victime s’est vue demander de régler 1 million de dollars.

Article rédigé par Dominique Filippone (Chef des actualités LMI) - le 12 Janvier 2022

SOURCE: Le monde informatique