Le groupe Akira Ransomware exploite une vulnérabilité zero-day dans VMware vCenter Server pour compromettre des infrastructures de virtualisation ESXi à grande échelle. Depuis début mars 2026, au moins 47 organisations ont été touchées en Europe et en Amérique du Nord, avec des rançons allant de 500 000 à 5 millions de dollars. Les attaquants utilisent la faille vCenter comme point d entrée initial, puis déploient un chiffreur Linux spécifiquement conçu pour les datastores VMFS. VMware a publié un correctif d urgence le 2 avril.
Chaîne d attaque observée
L analyse forensique des incidents révèle une chaîne d attaque en 5 phases :
- Accès initial : exploitation de la faille vCenter (CVSS 9.1) pour obtenir un shell sur le serveur vCenter
- Reconnaissance : inventaire des hosts ESXi, datastores et VMs critiques via les API vSphere
- Mouvement latéral : connexion SSH aux hosts ESXi avec les credentials vCenter compromises
- Exfiltration : copie des fichiers VMDK critiques vers un serveur de staging via rsync chiffré
- Chiffrement : déploiement du ransomware Akira Linux pour chiffrer les fichiers .vmdk, .vmx et .vmxf
| Phase | TTPs MITRE | Outils observés |
|---|---|---|
| Accès initial | T1190 | Exploit custom vCenter |
| Persistence | T1098 | Comptes locaux ESXi |
| Exfiltration | T1048 | rsync, rclone |
| Impact | T1486 | Akira Linux encryptor |
Mesures de protection immédiates
- Patcher vCenter immédiatement (VMSA-2026-0008)
- Isoler le management plane : vCenter et ESXi ne doivent jamais être exposés sur Internet
- Activer le lockdown mode sur tous les hosts ESXi
- Sauvegardes offline : vérifier que les sauvegardes Veeam/NAKIVO sont sur un réseau isolé
- MFA obligatoire sur les accès vSphere Client
Pour renforcer la sécurité de votre infrastructure de virtualisation, consultez nos guides sur le hardening Proxmox et la sécurisation ESXi/vSphere.
À retenir
Les infrastructures de virtualisation sont devenues la cible n°1 des groupes ransomware en 2026. Un seul vCenter compromis peut entraîner le chiffrement de centaines de VMs en quelques heures. Segmentez le management plane et maintenez des sauvegardes immuables offline.
Sources : VMware Security Advisories | Mandiant Threat Intel
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire