Lorsqu'il s'agit d'abuser d'une faille connue dans VMware Workspace One Access, les acteurs de la menace ont décidé de monter la barre en introduisant un ransomware dans le mélange.
Un rapport Fortinet, qui a examiné l'évolution des attaques en août de cette année, a souligné une nouvelle faille dans le produit VMware : une vulnérabilité d'exécution de code à distance due à l'injection de modèles côté serveur.
La faille a été identifiée comme CVE-2022-22954, et on a rapidement découvert qu'un acteur menaçant connu, APT35 (également connu sous le nom de Rocket Kitten), l'utilisait. Un mois plus tard, EnemyBot a également pris le train en marche. Divers acteurs de la menace abusaient de la faille pour implémenter le botnet Mira pour les attaques DDoS, ou GuardMiner pour exploiter la crypto-monnaie pour les attaquants.
Entrez la rançon RAR1
Maintenant, Fortinet a noté que la faille est utilisée pour implémenter l'outil RAR1Ransom. BleepingComputer le décrit comme un "outil de ransomware simple (s'ouvre dans un nouvel onglet)" qui abuse de WinRAR pour compresser les fichiers de la victime et les verrouiller avec un mot de passe. Une fois la tâche terminée, l'extension .rar1 est attribuée à tous les fichiers verrouillés. Pour obtenir le mot de passe, les victimes doivent payer 2 XMR, soit environ 290 €.
Il convient de noter qu'il ne s'agit pas d'une variante de ransomware "classique", car elle ne crypte pas réellement vos fichiers, elle les verrouille simplement dans un fichier protégé par mot de passe.
Fortinet a également découvert que l'adresse XMR que les victimes doivent payer est la même que celle utilisée dans GuardMiner.
VMware a corrigé la vulnérabilité d'exécution de code à distance il y a des mois, mais il semble que certaines organisations n'aient toujours pas corrigé leurs terminaux et restent vulnérables à un ensemble croissant d'attaques. Il a corrigé la faille ainsi que quelques autres vulnérabilités en avril et a exhorté ses utilisateurs à ne pas se contenter du correctif fourni à l'époque :
"Les solutions de contournement, bien que pratiques, n'éliminent pas les vulnérabilités et peuvent introduire des complexités supplémentaires que les correctifs n'introduiraient pas", a averti la société. "Bien que la décision de corriger ou d'utiliser la solution de contournement vous appartienne, VMware recommande toujours fortement l'application de correctifs comme le moyen le plus simple et le plus fiable de résoudre ce problème."
Via : BleepingComputer (Ouvre dans un nouvel onglet)