La version Linux du rançongiciel Black Basta cible les serveurs VMware ESXi

Black Basta est le dernier gang de rançongiciels à ajouter la prise en charge du chiffrement des machines virtuelles (VM) VMware ESXi s’exécutant sur des serveurs Linux d’entreprise.

La plupart des groupes de rançongiciels concentrent désormais leurs attaques sur les machines virtuelles ESXi, car cette tactique s’aligne sur le ciblage de leur entreprise. Il permet également de profiter d’un cryptage plus rapide de plusieurs serveurs avec une seule commande.

Le chiffrement des machines virtuelles est logique puisque de nombreuses entreprises ont récemment migré vers des machines virtuelles, car elles permettent une gestion plus facile des appareils et une utilisation beaucoup plus efficace des ressources.

Un autre gang de rançongiciels ciblant les serveurs ESXi

Dans un nouveau rapport, les analystes d’Uptycs Threat Research ont révélé qu’ils avaient repéré de nouveaux binaires de ransomware Black Basta ciblant spécifiquement les serveurs VMWare ESXi.

Les chiffreurs de rançongiciels Linux ne sont pas nouveaux, et BleepingComputer a signalé des chiffreurs similaires publiés par plusieurs autres gangs, notamment LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX et Hive.

Comme les autres chiffreurs Linux, le binaire ransomware de Black Basta recherchera les /vmfs/volumes où les machines virtuelles sont stockées sur les serveurs ESXi compromis (si aucun dossier de ce type n’est trouvé, le ransomware se ferme).

BleepingComputer n’a pas pu trouver d’arguments de ligne de commande pour cibler d’autres chemins de chiffrement, ce qui suggère que ce chiffreur est spécifiquement conçu pour cibler uniquement les serveurs ESXi.

Le rançongiciel utilise l’algorithme ChaCha20 pour crypter les fichiers. Il tire également parti du multithreading pour utiliser plusieurs processeurs et accélérer le processus de cryptage.

Lors du cryptage, le ransomware ajoutera l’extension .basta aux noms des fichiers cryptés et créera des notes de rançon nommées readme.txt dans chaque dossier.

Les notes incluent un lien vers le panneau de support de chat et un identifiant unique que les victimes peuvent utiliser pour communiquer avec les attaquants.

“Le Black Basta a été vu pour la première fois cette année au cours du mois d’avril, au cours duquel ses variantes ciblaient les systèmes Windows”, ont déclaré Siddharth Sharma et Nischay Hegde d’Uptcys.

“Sur la base du lien de support de chat et de l’extension de fichier cryptée, nous pensons que les acteurs derrière cette campagne sont les mêmes qui ont ciblé les systèmes Windows plus tôt avec le rançongiciel Black Basta.”

Actif depuis avril

Le rançongiciel Black Basta a été repéré pour la première fois dans la nature au cours de la deuxième semaine d’avril, alors que l’opération a rapidement intensifié ses attaques ciblant des entreprises du monde entier.

Même si les demandes de rançon du gang sont susceptibles de varier d’une victime à l’autre, BleepingComputer en connaît au moins une qui a reçu une demande de plus de 2 millions de dollars pour un décrypteur et pour éviter que ses données ne soient divulguées en ligne.

Bien que l’on ne sache pas grand-chose d’autre sur le nouveau gang de ransomwares, il ne s’agit probablement pas d’une nouvelle opération mais plutôt d’un changement de nom en raison de leur capacité démontrée à violer rapidement de nouvelles victimes et du style de négociation (peut-être un changement de nom de l’opération de ransomware Conti).

Fabian Wosar, CTO d’Emsisoft, a précédemment déclaré à BleepingComputer que d’autres gangs de rançongiciels (en plus de ceux dont nous avons parlé), notamment Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker et DarkSide, ont également développé et utilisé leurs propres chiffreurs Linux.

“La raison pour laquelle la plupart des groupes de ransomwares ont implémenté une version basée sur Linux de leur ransomware est de cibler spécifiquement ESXi”, a expliqué Wosar.