L’adaptation et l’agilité sont le propre des cybercriminels. En fin de semaine dernière, une première offensive visait les serveurs avec ESXi vulnérables à une faille datant de 2021 et implantait un ransomware baptisé ESXiArgs pour chiffrer les données. Selon des spécialistes pas moins de 3 000 serveurs étaient concernés notamment en France, mais aussi en Italie et dans d’autres pays. En début de semaine, un espoir est né pour les victimes avec la publication d’un script de récupération notamment par la CISA et le FBI.

Joie de courte durée comme l’indique nos confrères de Bleepingcomputer qui ont observé une seconde vague d’attaque avec une version renforcé du ransomware pour bloquer cette récupération. Il a en effet changé de méthode de chiffrement en cryptant des quantités plus importantes de données.

Plus de chiffrement de données

Quand ESXiArgs infecte une machine virtuelle, il lance un script « encrypt.sh » pour rechercher des fichiers avec certaines extensions (.vmdk, .vmx, .vmsd, .vmxf, .vmsn, .vswp, .vmss, .nvram, .vmem). Pour chaque fichier, le script vérifie sa taille. Si elle est inférieure à 128 Mo, il chiffre l’ensemble du fichier par incrément de 1 Mo. Pour les fichiers de plus de 128 Mo, il calcule un « size step » (dont la formule est size_step=((($size_in_kb/1024/100)-1)), un saut en fonction de la taille où le ransomware alterne le chiffrement de 1 Mo de données et le non-chiffrement d’autres morceaux. Grâce à ce dernier point, des chercheurs ont conçu une méthode de récupération des VM. Cette méthode a ensuite été automatisée par la CISA.

L’analyse des échantillons de la seconde vague d’attaques montre que le mode de calcul « size step » a été supprimée du script de chiffrement en le plaçant à 1. Cela signifie que beaucoup plus de données sont chiffrées, rendant caduc l’outil de récupération. Bleepingcomputer souligne un autre détail inquiétant, l’administrateur ayant soumis l’échantillon avait désactivé SLP sur son serveur. Il semble donc que les pirates soient passés par une autre brèche, non déterminée pour l’instant.