{"id":602823,"date":"2023-02-11T14:14:40","date_gmt":"2023-02-11T16:14:40","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-nouvelle-variante-esxiargs-ransomware-emerge-apres-la-publication-de-loutil-de-decryptage-par-cisa\/"},"modified":"2023-02-11T14:14:42","modified_gmt":"2023-02-11T16:14:42","slug":"une-nouvelle-variante-esxiargs-ransomware-emerge-apres-la-publication-de-loutil-de-decryptage-par-cisa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-nouvelle-variante-esxiargs-ransomware-emerge-apres-la-publication-de-loutil-de-decryptage-par-cisa\/","title":{"rendered":"Une nouvelle variante ESXiArgs Ransomware \u00e9merge apr\u00e8s la publication de l&#8217;outil de d\u00e9cryptage par CISA"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 f\u00e9vrier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ran\u00e7ongiciels \/ S\u00e9curit\u00e9 des terminaux<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Apr\u00e8s que la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis ait publi\u00e9 un d\u00e9crypteur permettant aux victimes concern\u00e9es de se remettre des attaques de ran\u00e7ongiciels ESXiArgs, les acteurs de la menace ont rebondi avec une version mise \u00e0 jour qui crypte davantage de donn\u00e9es.<\/p>\n<p>L&#8217;\u00e9mergence de la nouvelle variante a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/forums\/t\/782193\/esxi-ransomware-help-and-support-topic-esxiargs-args-extension\/page-31#entry5473353\" target=\"_blank\">signal\u00e9<\/a> par un administrateur syst\u00e8me sur un forum en ligne, o\u00f9 un autre participant a d\u00e9clar\u00e9 que les fichiers de plus de 128 Mo auront 50 % de leurs donn\u00e9es crypt\u00e9es, ce qui rend le processus de r\u00e9cup\u00e9ration plus difficile.<\/p>\n<p>Un autre changement notable est la suppression de l&#8217;adresse Bitcoin de la note de ran\u00e7on, les attaquants exhortant d\u00e9sormais les victimes \u00e0 les contacter sur Tox pour obtenir les informations sur le portefeuille.<\/p>\n<p>Les acteurs de la menace &#8220;ont r\u00e9alis\u00e9 que les chercheurs suivaient leurs paiements, et ils savaient peut-\u00eatre m\u00eame avant de publier le ransomware que le processus de cryptage dans la variante d&#8217;origine \u00e9tait relativement facile \u00e0 contourner&#8221;, Censys <a rel=\"nofollow noopener\" href=\"https:\/\/censys.io\/esxwhy-a-look-at-esxiargs-ransomware\/\" target=\"_blank\">a dit<\/a> dans un \u00e9crit.<\/p>\n<p>\u00ab En d&#8217;autres termes : ils regardent.<\/p>\n<p>Statistiques partag\u00e9es par la plateforme crowdsourc\u00e9e Ransomwhere <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/ransomwhere_\/status\/1623673914822914051\" target=\"_blank\">r\u00e9v\u00e9ler<\/a> que jusqu&#8217;\u00e0 1 252 serveurs ont \u00e9t\u00e9 infect\u00e9s par la nouvelle version d&#8217;ESXiArgs au 9 f\u00e9vrier 2023, dont 1 168 sont des r\u00e9infections.<\/p>\n<p>Depuis le d\u00e9but de l&#8217;\u00e9pid\u00e9mie de ransomware d\u00e9but f\u00e9vrier, plus de 3 800 h\u00f4tes uniques ont \u00e9t\u00e9 compromis.  UN <a rel=\"nofollow noopener\" href=\"https:\/\/www.reuters.com\/world\/us\/ransomware-outbreak-hits-florida-supreme-court-us-european-universities-2023-02-07\/\" target=\"_blank\">majorit\u00e9<\/a> des infections se situent en France, aux \u00c9tats-Unis, en Allemagne, au Canada, au Royaume-Uni, aux Pays-Bas, en Finlande, en Turquie, en Pologne et \u00e0 Ta\u00efwan.<\/p>\n<p>ESXiArgs, comme Cheerscrypt et <a rel=\"nofollow noopener\" href=\"https:\/\/www.synacktiv.com\/en\/publications\/pridelocker-a-new-fork-of-babuk-esx-encryptor.html\" target=\"_blank\">PrideLocker<\/a>est bas\u00e9 sur le casier Babuk, qui avait son <a rel=\"nofollow noopener\" href=\"https:\/\/heimdalsecurity.com\/blog\/the-full-source-code-for-the-babuk-ransomware-published-on-a-russian-hacker-forum\/\" target=\"_blank\">fuite du code source<\/a> dans <a rel=\"nofollow noopener\" href=\"https:\/\/blog.morphisec.com\/babuk-ransomware-variant-major-attack\" target=\"_blank\">Septembre 2021<\/a>.  Mais un aspect crucial qui le diff\u00e9rencie des autres familles de ran\u00e7ongiciels est l&#8217;absence de site de fuite de donn\u00e9es, indiquant qu&#8217;il ne fonctionne pas sur un <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/definition\/ransomware-as-a-service-raas\" target=\"_blank\">ran\u00e7ongiciel en tant que service<\/a> (<a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/security\/ransomware\/ransomware-as-a-service\/\" target=\"_blank\">RaaS<\/a>) mod\u00e8le.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1676132080_788_Une-nouvelle-variante-ESXiArgs-Ransomware-emerge-apres-la-publication-de.png\" alt=\"Ran\u00e7ongiciel ESXiArgs\" border=\"0\" data-original-height=\"524\" data-original-width=\"728\" title=\"Ran\u00e7ongiciel ESXiArgs\"\/><\/div>\n<p>&#8220;Les ran\u00e7ons sont fix\u00e9es \u00e0 un peu plus de deux bitcoins (47 000 dollars am\u00e9ricains) et les victimes ont trois jours pour payer&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Intel471. <a rel=\"nofollow noopener\" href=\"https:\/\/intel471.com\/blog\/an-analysis-of-the-vmware-esxi-ransomware-blitz\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Alors que l&#8217;on soup\u00e7onnait initialement que les intrusions impliquaient l&#8217;abus d&#8217;un bogue OpenSLP vieux de deux ans et maintenant corrig\u00e9 dans VMware ESXi (CVE-2021-21974), des compromis ont \u00e9t\u00e9 signal\u00e9s dans des appareils sur lesquels le protocole de d\u00e9couverte de r\u00e9seau est d\u00e9sactiv\u00e9.<\/p>\n<p>VMware a depuis d\u00e9clar\u00e9 qu&#8217;il n&#8217;avait trouv\u00e9 aucune preuve sugg\u00e9rant qu&#8217;une vuln\u00e9rabilit\u00e9 zero-day dans son logiciel \u00e9tait utilis\u00e9e pour propager le ransomware.<\/p>\n<p>Cela indique que les acteurs de la menace \u00e0 l&#8217;origine de l&#8217;activit\u00e9 peuvent tirer parti <a rel=\"nofollow noopener\" href=\"https:\/\/www.greynoise.io\/blog\/exploit-vector-analysis-of-emerging-esxiargs-ransomware\" target=\"_blank\">plusieurs vuln\u00e9rabilit\u00e9s connues<\/a> dans ESXi \u00e0 leur avantage, ce qui rend imp\u00e9ratif que les utilisateurs agissent rapidement pour mettre \u00e0 jour vers la derni\u00e8re version.  Les attaques n&#8217;ont pas encore \u00e9t\u00e9 attribu\u00e9es \u00e0 un acteur ou \u00e0 un groupe mena\u00e7ant connu.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1676132080_834_Une-nouvelle-variante-ESXiArgs-Ransomware-emerge-apres-la-publication-de.png\" alt=\"Ran\u00e7ongiciel ESXiArgs\" border=\"0\" data-original-height=\"456\" data-original-width=\"728\" title=\"Ran\u00e7ongiciel ESXiArgs\"\/><\/div>\n<p>&#8220;Sur la base de la demande de ran\u00e7on, la campagne est li\u00e9e \u00e0 un seul acteur ou groupe mena\u00e7ant&#8221;, d\u00e9clare Arctic Wolf. <a rel=\"nofollow noopener\" href=\"https:\/\/arcticwolf.com\/resources\/blog-uk\/active-esxiargs-ransomware-campaign-targeting-esxi-servers\/\" target=\"_blank\">soulign\u00e9<\/a>.  &#8220;Des groupes de ran\u00e7ongiciels plus \u00e9tablis effectuent g\u00e9n\u00e9ralement un OSINT sur des victimes potentielles avant de proc\u00e9der \u00e0 une intrusion et fixent le paiement de la ran\u00e7on en fonction de la valeur per\u00e7ue.&#8221;<\/p>\n<p>Entreprise de cybers\u00e9curit\u00e9 Rapid7 <a rel=\"nofollow noopener\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2023\/02\/09\/nearly-19-000-esxi-servers-still-vulnerable-to-cve-2021-21974\/\" target=\"_blank\">a dit<\/a> il a trouv\u00e9 18 581 serveurs ESXi accessibles sur Internet qui sont vuln\u00e9rables \u00e0 CVE-2021-21974, ajoutant qu&#8217;il a en outre observ\u00e9 des acteurs de RansomExx2 ciblant de mani\u00e8re opportuniste des serveurs ESXi sensibles.<\/p>\n<p>&#8220;Bien que l&#8217;impact en dollars de cette violation particuli\u00e8re puisse sembler faible, les cyber-attaquants continuent d&#8217;affliger les organisations par la mort par mille coupures&#8221;, a d\u00e9clar\u00e9 Tony Lauro, directeur de la technologie et de la strat\u00e9gie de s\u00e9curit\u00e9 chez Akamai.<\/p>\n<p>&#8220;Le ran\u00e7ongiciel ESXiArgs est un excellent exemple de la raison pour laquelle les administrateurs syst\u00e8me doivent impl\u00e9menter les correctifs rapidement apr\u00e8s leur publication, ainsi que des efforts que les attaquants devront d\u00e9ployer pour r\u00e9ussir leurs attaques. Cependant, les correctifs ne sont qu&#8217;une ligne de d\u00e9fense pour compter sur.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/new-esxiargs-ransomware-variant-emerges.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 f\u00e9vrier 2023\ue804Ravie LakshmananRan\u00e7ongiciels \/ S\u00e9curit\u00e9 des terminaux Apr\u00e8s que la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis ait publi\u00e9 un d\u00e9crypteur permettant aux victimes concern\u00e9es de se remettre des attaques de ran\u00e7ongiciels ESXiArgs, les acteurs de la menace ont rebondi avec une version mise \u00e0 jour qui crypte davantage de donn\u00e9es. L&#8217;\u00e9mergence de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":602824,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[271,4805,4168,4158,4165,4161,145232,5677,144319,4157,4159,4171,4170,4167,5665,4160,197,4163,4162,164,11496,4392,4172,4169,196,25900,4166,4164],"class_list":["post-602823","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apres","tag-cisa","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decryptage","tag-emerge","tag-esxiargs","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-loutil","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-publication","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-une","tag-variante","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/602823","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=602823"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/602823\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/602824"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=602823"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=602823"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=602823"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}