Un ransomware de type “cryptolocker” s’attaque depuis quelques mois à deux produits VMware : ESXi et vCenter. Son objectif est simple : il chiffre les données de vos banques de données et vous devez payer pour récupérer l’accès à vos machines virtuelles…

5 bitcoins par VM touchée, voilà ce que réclame le pirate à l’origine de ces attaques. Pour payer vous aurez deux semaines, pas plus.

Si vous utilisez les produits VMware, sachez que les anciennes versions d’ESXi sont vulnérables c’est à dire de la version 5.0 à la version 5.5, mais par contre vCenter 5.0 à 6.0.

Quoi qu’il en soit, vous devez mettre à jour vos serveurs avec Update Manager ou manuellement, mais gardez en-tête que vos hyperviseurs ne doivent pas être accessible depuis internet, sinon voilà ce qu’il peut arriver…

Ce pirate semblerait être russe à en croire son pseudo “Russian guardians” mais rien ne l’affirme…

Plus en détails, voici les versions touchées :

VMware ESXi :

– VMware ESXi 5.5 sans le patch ESXi550-201509101-SG
– VMware ESXi 5.1 sans le patch ESXi510-201510101-SG
– VMware ESXi 5.0 sans le patch ESXi500-201510101-SG

VMware vCenter :

– vCenter Server 6.0 inférieur à 6.0.0b
– vCenter Server 5.5 inférieur à 5.5 update 3
– vCenter Server 5.1 inférieur à 5.1 update u3b
– vCenter Server 5.0 inférieur à 5.0 update u3e

Source