L'équipe de recherche Censys suit de près la propagation du ransomware ESXiArgs depuis qu'il a été détecté pour la première fois au début du mois de février. L'équipe a utilisé les données de balayage Internet de Censys pour suivre les hôtes infectés à travers les pays, pour surveiller la façon dont le groupe de pirates a réagi depuis, et pour développer un tableau de bord avec les données de Censys que les chercheurs peuvent utiliser pour suivre le ransomware.
Au fur et à mesure que l'activité du ransomware ESXiArgs se développait, l'histoire et le travail de notre équipe ont été repris par la presse dans plus de 20 publications du secteur, et ce n'est pas fini. Vous pouvez consulter un résumé des principaux articles ci-dessous.
Le ransomware ESXiArgs : Chronologie des événements
Tout d'abord, revenons sur ce qui s'est passé depuis la découverte du ransomware ESXiArgs.
1) Une campagne de ransomware ciblant les serveurs VMWare ESXi a débuté début février. Le pic d'infection a été atteint le 3 février, date à laquelle Censys a observé 3 551 hôtes infectés.
2. Il est intéressant de noter que la campagne a présenté les notes de rançon sur l'internet, les rendant ainsi visibles aux scanners passifs de Censys. Nous avons également pu constater que les adresses des portefeuilles bitcoins étaient affichées sur les pages des rançongiciels, ce qui nous a permis de suivre les paiements.
3. Nous avons observé que la France, les États-Unis, l'Allemagne, le Canada et d'autres pays ont été victimes d'attentats, dont un grand nombre en France.
4. La CISA a ensuite publié un outil de décryptage, mais le groupe de pirates a réagi en supprimant les adresses BTC et en cryptant des données supplémentaires, ce qui a rendu les outils de décryptage existants inefficaces.
5. Le 11 février, l'équipe Censys a observé une vague de nouveaux hôtes infectés et a découvert deux hôtes avec des notes de rançon très similaires datant de la mi-octobre 2022, juste après que les versions 6.5 et 6.7 d'ESXi aient atteint leur fin de vie.
6. L'équipe de Censys a créé un tableau de bord (utilisant les données de Censys mises à jour toutes les 24 heures) pour permettre aux chercheurs de suivre la diffusion de la campagne.
Vous trouverez une analyse complète des travaux de notre équipe de recherche dans ce document. Évolution du ransomware ESXiArgs Censys article de blog.
Couverture médiatique
Bleeping Computer - (en anglais) Une attaque massive de ransomware ESXiArgs cible les serveurs VMware ESXi dans le monde entier
Dans cet article du 3 février, publié le jour où Censys a observé un pic d'infections par le ransomware ESXiArgs, Bleeping Computer a signalé le ciblage actif des serveurs VMware ESXi. Dans les mises à jour de l'article du 6 février, Bleeping Computer cite de nouvelles données provenant de Censys sur les serveurs infectés : "...les chiffres ont rapidement augmenté au cours du week-end, avec 2 400 dispositifs VMware ESXi dans le monde entier actuellement détectés comme compromis dans la campagne de ransomware, selon une recherche surCensys ."
Cyberscoop - Une vague mondiale de ransomwares infecte des serveurs VMWare non corrigés. La CISA propose un correctif (possible).
Cyberscoop raconte comment le CERT-FR français a détecté le ransomware ESXiArgs en utilisant les données d'analyse Internet de Censys et explique en détail comment les personnes concernées peuvent utiliser le script de récupération du ransomware de CISA sur GitHub.
Reuters - L'Italie affirme que rien ne prouve que le piratage d'un rançongiciel mondial ait été le fait d'une entité étatique
Reuters cite des données provenant de Censys qui montrent que des milliers de serveurs dans le monde ont été touchés par le ransomware ESXiArgs, la plupart étant situés en France, aux États-Unis et en Allemagne. Reuters rapporte que l'Agence nationale italienne de cybersécurité ne pense pas qu'un État ou une entité hostile de type étatique soit responsable, malgré le caractère mondial de l'attaque.
The Hacker News - Le ransomware ESXiArgs atteint plus de 500 nouvelles cibles dans les pays européens
Le 16 février, The Hacker News a publié un article sur Censys, selon lequel de nouvelles cibles en Europe ont été touchées par le ransomware ESXiArgs. L'article indique que "les conclusions proviennent de la société de gestion de la surface d'attaque Censys, qui a découvert "deux hôtes avec des notes de rançon étonnamment similaires datant de la mi-octobre 2022, juste après que les versions 6.5 et 6.7 d'ESXi aient atteint la fin de leur vie". The Hacker News inclut également les déclarations de Mark Ellzey et Emily Austin, chercheurs principaux en sécurité à l'adresse Censys .
TechTalk - Des milliers de victimes apparemment touchées par le ransomware ESXiArgs
TechTalk s'est entretenu avec Emily Austin, chercheuse principale en sécurité à l'adresse Censys , au sujet de la vague d'hôtes infectés par une nouvelle variante du ransomware ESXiArgs. "Les acteurs de la menace ont probablement suivi les mises à jour de la communauté de la sécurité et se sont rendu compte que les chercheurs suivaient leurs paiements. Ils savaient peut-être même avant de publier le ransomware que le processus de cryptage de la variante originale était relativement facile à contourner", a déclaré Mme Austin.
Equinix - Couverture LinkedIn par Sean O'Conner, responsable du centre d'analyse des menaces d'Equinix
Les travaux de l'équipe de recherche Censys sur le ransomware ESXiArgs ont attiré l'attention de Sean O'Conner, responsable du centre d'analyse des menaces d'Equinix. Sean a partagé le tableau de bord interactif de l'équipe Censys et a noté le lot de serveurs nouvellement infectés qui avaient été détectés par l'analyse Censys .
Lire la suite
D'autres articles de presse sur le ransomware ESXiArgs ont été publiés :
