Redemption : AvosLocker runaway attaque également ESXi

Redemption : AvosLocker runaway attaque également ESXi
Notez l'article

Les opérateurs de la franchise de ransomware AvosLocker revendiquent le support des systèmes Linux et ESXi depuis l’automne dernier. Mais le premier échantillon correspondant vient seulement d’être découvert.

Les opérateurs de la franchise de ransomware AvosLocker revendiquent le support des systèmes Linux et ESXi depuis l’automne dernier. Mais le premier échantillon correspondant vient seulement d’être découvert.

Les premières victimes revendiquées par la franchise de rançongiciels AvosLocker remontent à juillet 2020. Fin décembre, elles étaient près d’une cinquantaine. Les opérateurs de franchise ont commencé à commercialiser les versions Linux et ESXi de leurs outils de chiffrement l’automne dernier. Mais le premier échantillon correspondant est à peine observé. Il est à la disposition de la communauté des chercheurs pour la sécurité des données depuis le 10 janvier.

Selon nos sources, la série AvosLocker gagne en popularité, tout comme la Hive. Mais les versions Windows d’AvosLocker ont un niveau de maquillage particulièrement élevé et multiplient les mécanismes censés éviter la détection. En fait, les échantillons officiellement identifiés comme AvosLocker semblent encore rares, du moins par rapport aux autres franchises de ransomwares en mode service.

Fin décembre 2020, l’équipe Sophos annonçait une technique utilisée pour déployer AvosLocker sur Windows : modifier la configuration de démarrage en mode sans échec pour installer et utiliser l’outil d’administration à distance AnyDesk, voire Chisel.

L’outil PDQ Deploy a également été utilisé dans les distributions AvosLocker. Avec lui, l’attaquant exécute un script qui se charge d’empêcher le lancement d’outils de protection de l’hôte comme ceux de Symantec, VMware Carbon Black, Blackberry Cylance ou Sophos, avant de redémarrer la machine ciblée en mode sans échec.

Les équipes de Sophos ont déjà évoqué la version Linux d’AvosLocker ciblant les hôtes ESXi “en tuant les machines virtuelles puis en cryptant les fichiers associés”.

AvosLocker annonce ses dernières variantes (avos2/avoslinux) pic.twitter.com/4a1Sb8XQqJ

AvosLocker n’est pas le seul ransomware qui peut affecter les environnements virtualisés VMware ESXi. Cela s’applique également à BlackCat et Hive. Avant eux, Revil/Sodinokibi, DarkSide, BlackMatter, Conti ou encore Babuk et RansomExx avaient compris tout l’intérêt qu’ils pouvaient retirer en s’attaquant à ces environnements.

En septembre, nous avons trouvé un échange entre une franchise affiliée AvosLocker et sa victime. Celui-ci a révélé avoir exploité des vulnérabilités affectant le serveur Exchange pour son intrusion initiale. Mais il a multiplié les conseils détaillés pour améliorer la sécurité du système d’information. Au menu, bien sûr, l’application des correctifs disponibles pour les vulnérabilités les plus souvent utilisées comme vecteurs d’intrusion, mais aussi la mise en place de l’authentification à deux facteurs, l’utilisation de SentinelOne pour protéger les hôtes du réseau, ou encore les outils de sauvegarde de Datto.

Loin de condamner Veeam, l’attaquant est allé jusqu’à expliquer comment isoler les sauvegardes pour éviter la destruction. Le cybercriminel a même pris la peine de formuler des conseils pour empêcher la collecte des identifiants d’administrateur Windows avec Mimikatz.

Pour approfondir sur Menaces informatiques

Ransomware : un léger répit saisonnier en décembre

Que sait-on du ransomware BlackCat ?

Ransomware : les Conti exploitent déjà la vulnérabilité Log4Shell

Hive : une franchise de ransomware redoutablement active

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.