Black Basta : ce qu’il faut savoir sur le nouveau ransomware

Une cyber attaque étendue

S’il s’attaquait jusqu’à présent aux serveurs Windows, Black Basta cible désormais les serveurs hyperviseurs VMware ESXi en pratiquant ce qu’on appelle une double extorsion :

• Chiffrement des données du VMFS Vmware présents sur les ESXi avec une extension .basta
• ET ex-filtration progressive des données.

Les conséquences peuvent ainsi être catastrophiques puisque le dossier VMFS contient les données de toutes vos machines virtuelles.

Aucun correctif Vmware n’étant disponible à ce jour, nous recommandons la plus grande vigilance ainsi que la mise en œuvre des bonnes pratiques suivantes :

• Sauvegardez votre environnement (afin de pouvoir le remonter facilement en cas d’attaque).
• Segmentez vos réseaux User / Management
• Vérifiez que le SSH est bien désactivé (ESXi et vCenter)
• Assurez-vous que votre environnement est à jour
• Évitez les liaisons entre le vCenter et les LDAP

Agissant comme un ransomware classique, une bonne protection et une sensibilisation des risques cyber auprès de vos collaborateurs sont également de mise.

Si vous avez le moindre doute, nos équipes restent disponibles pour vous accompagner et vérifier votre environnement Vmware.

Pour limiter les risques, pensez à la formation !

Le pôle Cyber Educ du Groupe ACESI est dédiée à la Sensibilisation à la Cybersécurité.