Les serveurs hébergeant des instances virtualisées basées sur l’hyperviseur de type 1 ESXi de VMware sont ciblés depuis longtemps par des cyberattaques. Cela avait déjà été le cas en 2023 ou encore un an plus tard avec des attaques par le ransomware Play. Fin juin, le FBI a lancé une alerte après avoir observé que le groupe Scattered Spider a étendu ses activités à plusieurs secteurs sensibles incluant l’aérien, la finance, et l’industrie pharmaceutique. « Ces acteurs ont recours à des techniques d’ingénierie sociale, se faisant souvent passer pour des employés ou des sous-traitants afin de tromper les services d’assistance informatique et obtenir un accès », a prévenu l’agence américaine. « Ces techniques impliquent souvent des méthodes contournant l’authentification multifactorielle (MFA), comme convaincre les services d’assistance d’ajouter des terminaux MFA non autorisés à des comptes compromis […] Une fois à l’intérieur, les membres de Scattered Spider volent des données sensibles à des fins d’extorsion et déploient souvent des ransomwares. » 

Il y a quelques jours, l’équipe de chercheurs en sécurité de Mandiant (Google) a apporté des précisions sur le mode opératoire et les vecteurs d’infection de UNC3944, un cybergang également connu comme 0ktapus et Octo Tempest. Ces cibles ont principalement été trouvées en Amérique du Nord. Les chercheurs de Mandiant ont identifié 5 phases distinctes de l’attaque par ransomware visant les instances ESXi : compromission initiale, reconnaissance et escalade, latéralisation sur vCenter et compromission du control plane, vol et exfiltration d’informations d’identification hors ligne, sabotage de la sauvegarde et des mesures de sécurité, exécution du rançongiciel et chiffrement des données.

Une ingénierie de détection sophistiquée à mettre en place dans le SIEM

« Après avoir utilisé l’ingénierie sociale pour compromettre un ou plusieurs comptes d’utilisateurs, ils manipulent les systèmes admin de confiance et utilisent leur contrôle d’Active Directory comme tremplin pour pivoter vers l’environnement VMware vSphere, offrant ainsi un moyen d’exfiltrer des données et de déployer des ransomwares directement depuis l’hyperviseur », explique Mandiant. « Cette méthode est très efficace, car elle génère peu d’indicateurs de compromission (IoC) traditionnels et contourne les outils de sécurité tels que la détection et de réponse aux incidents au niveau des endpoints (EDR), qui ont souvent une visibilité limitée, voire inexistante, sur l’hyperviseur ESXi et vCenter Server Appliance (VCSA). » L’exploitation de cette chaine d’attaque peut être réalisée sur un temps très court selon les chercheurs, quelques heures suffisent.

Pour se prémunir de ce type d’attaque, Mandiant pousse quelques recommandations comme ne pas relier les hôtes ESXi à Active Directory, bloquer l’accès direct au shell via SSH, implémenter MFA aux VPN, logins vCenter et comptes à privilèges de l’Active Directory. Ou encore transférer tous les logs provenant d’AD, vCenter, ESXi, de l’infrastructure réseau, des pare-feu et des sauvegardes vers un SIEM, et corréler les journaux provenant de ces sources disparates pour créer des scénarios de détection capables de repérer les mouvements méthodiques des pirates. « La stratégie d’UNC3944 exige un changement fondamental dans la stratégie défensive, passant d’une recherche des menaces basée sur l’EDR à une défense proactive centrée sur l’infrastructure », prévient l’éditeur.