C'est peu de dire que les attaques par rançongiciels constituent une plaie de premier plan pour les entreprises. Au point d'en faire un business lucratif pour les cybercriminels qui passent par un tiers pour mener des activités malveillantes de ce type. Avec à la clé une explosion des menaces liées aux ransomware as a service (RaaS) qui sont de plus en plus nombreuses depuis le début de l'année à cibler les environnements serveurs sur lesquels l'hyperviseur ESXi de VMware est installé. Une dernière enquête de Crowdstrike fait ainsi le point sur la situation qui n'est malheureusement pas en train de s'arranger, bien au contraire.

« En avril 2023 CrowdStrike Intelligence a identifié un nouveau programme RaaS nommé MichaelKors, qui fournit à ses affiliés des binaires de ransomware ciblant les systèmes Windows et ESXi/Linux », a indiqué le fournisseur de sécurité dans une dernière étude. « D'autres plateformes RaaS capables de cibler les environnements ESXi, comme le ransomware Nevada, ont également été lancées ». Parmi les autres prenant les systèmes ESXi pou cibles, on trouve aussi ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Play, Rook, Rorschach...

La menace ransomware dans ESXi considérée par VMware

Ce n'est pas un hasard si ESXi constitue une proie de premier choix pour les cyberpirates car, d'après Crowdstrike, de par sa conception cette solution ne prend pas en charge les agents tiers ou les logiciels anti-virus. VMware va même jusqu'à affirmer que mettre en place une telle solution de sécurité n'est pas requise. Sachant la popularité d'ESXi en tant que système de virtualisation et de gestion répandu et populaire, cet hyperviseur constitue donc une cible très attrayante pour les acteurs malveillants. 

La multiplication des attaques contre ESXi ne laisse cependant plus le fournisseur de virtualisation indifférent comme le montre une mise à jour du 15 mai 2023 de son bulletin concernant le déploiement d'agents tiers et de solutions anti-virus sur son hyperviseur. « Les informations contenues dans cet article sont obsolètes et doivent être considérées comme dépassées », a prévenu VMware. « Cet article devrait être mis à jour à l'avenir avec des informations récentes ». En attendant ces prochaines recommandations, le fournisseur dirige les utilisateurs vers ce blog qui pourrait bien les laisser sur leur faim.