Le mois de février 2023 a commencé de la pire des manières pour les services informatiques : une vague de cyberattaques touche depuis le 3 février plusieurs pays dont la France. Les pirates – aucun groupe n’a pour l’instant revendiqué les attaques – ont exploité une faille sur l’interface de serveurs VMware ESXi, un système d’exploitation prisé des RSSI pour interconnecter plusieurs machines. Ils en ont profité pour chiffrer les données et exiger le paiement d’une rançon de plusieurs dizaines de milliers d’euros.
À LIRE AUSSI : Ransomwares : pourquoi les entreprises paient de moins en moins les rançons
Un protocole pour contourner le ransomware
Le Cert français (le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) s’est rapidement saisi du dossier et s’est voulu rassurant sur son site : « Il est possible de récupérer les disques des machines virtuelles lorsque les fichiers de configuration (.vmdk) sont chiffrés et renommés avec une extension .args ». Il a publié une série de recommandations pour venir à bout du ransomware : après avoir isolé le serveur concerné, les victimes sont invitées à « effectuer une analyse des systèmes afin de détecter tout signe de compromission » puis de « privilégier une réinstallation de l’hyperviseur dans une version supportée par l’éditeur » et d’appliquer « l’ensemble des correctifs de sécurité ». Enfin, « désactiver les services inutiles sur l’hyperviseur (tel que le service SLP) » et « bloquer l’accès aux différents services d’administration, soit par un pare-feu dédié, soit par le pare-feu intégré à l’hyperviseur et mettre en œuvre un réseau local d’administration ainsi qu’une capacité d’administration distante si elle est requise (via réseau privé virtuel, VPN, ou, à défaut, par un filtrage des adresses IP de confiance) ».
