💥 Scattered Spider : quand VMware ESXi devient leur autoroute vers le ransomware

🕷️ Encore eux. Toujours sans exploits. Toujours aussi redoutables.

Le groupe Scattered Spider, bien connu des analystes pour ses méthodes de social engineering bien huilées, a encore frappé. Et cette fois, c’est VMware ESXi qui trinque. L’info vient de chez Mandiant (Google), qui observe depuis plusieurs semaines une vague d’attaques visant des infrastructures critiques américaines — notamment le transport, l’aérien et le retail — avec une prédilection pour… les hyperviseurs VMware.

On les connait bien chez Secuslice :
Scattered Spider Reloaded : plus de 500 domaines de phishing et une industrie au bord de la crise d’urticaire
Scattered Spider attaque les assureurs : après le pentest des casinos, place au loto de l’assurance
Scattered Spider : l’araignée qui tisse sa toile dans les MFA troués

🎯 La cible : VMware ESXi. Pourquoi eux ?

Parce que c’est le jackpot. Une fois sur un hyperviseur ESXi, on a :

• Un accès direct à toutes les VMs de l’entreprise (serveurs AD, bases de données, applicatifs métiers…).
• Un OS minimaliste basé sur Linux, trop souvent laissé sans supervision.
• Peu ou pas de logs centralisés ni de monitoring EDR natif.
• Une interface SSH activée « parce que c’est plus pratique », mais rarement segmentée ou surveillée.

Bref, le rêve du cybercriminel.

☎️ Toujours la même recette : pas d’exploit, juste un téléphone

Ce qui fait mal ? Scattered Spider n’utilise toujours aucun 0-day. Aucun exploit sophistiqué. Pas besoin. Leur force, c’est l’ingénierie sociale :

1. Appel à un helpdesk, en se faisant passer pour un collaborateur.
2. Obtention d’un reset de mot de passe, d’un accès VPN ou d’une ouverture de session distante.
3. Élévation de privilèges, puis rebond vers l’environnement vSphere/ESXi.
4. Déploiement de ransomware directement au niveau de l’hyperviseur.
5. Encryption de toutes les VMs. Game over.

Mandiant indique que leurs techniques sont « simples mais efficaces », et que la compromission initiale est presque toujours humaine.

🔒 Pourquoi personne ne protège ESXi sérieusement ?

Excellente question. Et la réponse est aussi tragique que fréquente :

• « Ce n’est pas Windows, donc c’est sûr. »
• « Ce n’est qu’un hyperviseur, pas besoin d’antivirus. »
• « On l’a installé en 2019 et depuis, plus personne n’y touche. »

Et bien sûr, l’incontournable « c’est sur le même VLAN que le reste du SI », parce que segmenter c’est trop compliqué… ou que le RSSI n’a pas voix au chapitre dans l’architecture réseau.

🚨 Ce que fait Scattered Spider une fois sur ESXi

Leur approche est chirurgicale :

• Arrêt des VMs, puis chiffrement des disques (VMDK).
• Suppression des snapshots pour éviter la restauration.
• Déploiement de scripts bash automatisés pour passer de host en host.
• Utilisation d’outils standards disponibles dans ESXi Shell (pas besoin de payloads lourds).

Mandiant confirme que le ransomware utilisé est souvent customisé, voire modulaire, pour coller aux particularités de l’environnement ciblé.

📉 Conséquences : paralysie totale et rançon XXL

Imaginez : plus de VMs, plus de production, plus de backups accessibles. Même les appliances de sauvegarde sont chiffrées.

Et comme on parle ici d’infrastructures critiques, le prix monte :

• Rançons au-delà de 5 millions de dollars.
• Fuite de données en cas de refus de payer.
• Communication de crise, enquête fédérale, réputation en miettes.

Les victimes n’ont souvent aucune autre issue que la restauration offline, quand elle est possible.

🛡️ Comment sécuriser un ESXi (pour de vrai) ?

Voici le petit manuel de survie pour admins VMware :

• Désactiver SSH quand non utilisé.
• Mettre en place une authentification multifactorielle sur la console vSphere.
• Segmentation réseau stricte : pas de routage direct entre postes utilisateurs et hyperviseurs.
• Centralisation des logs ESXi (via syslog ou SIEM).
• Déploiement d’un agent EDR compatible Linux sur les hôtes (oui, c’est possible).
• Sauvegardes chiffrées et offline, avec vérification de l’intégrité.
• Audit régulier de la configuration et scan de vulnérabilités même sur ESXi.

🧠 En résumé : pas besoin d’exploits quand on exploite les humains

Ce nouvel épisode rappelle une chose essentielle :

le plus gros bug du système d’information, c’est souvent l’utilisateur.

Et quand ces utilisateurs ont accès au SI via des portails VPN, des demandes d’assistance peu contrôlées, ou des comptes non segmentés, Scattered Spider n’a même pas besoin d’inventer de nouvelles techniques.

🔚 Conclusion piquante

VMware, avec son image d’ultra-fiabilité, reste un maillon critique trop souvent ignoré dans la chaîne de sécurité. Et tant qu’on continuera à gérer les hyperviseurs comme de simples appliances techniques, les ransomwares y trouveront une autoroute bien ouverte, sans péage, sans alerte, sans EDR.

💬 Tu bosses sur ESXi ? Ton infra est segmentée ? Tes logs partent ailleurs que sur /dev/null ? Non ? Alors prépare un plan de restauration, une communication de crise, et un café serré. Tu vas en avoir besoin.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com