TL;DR — En résumé
Akira Ransomware exploite un zero-day vCenter pour chiffrer les infrastructures ESXi. Analyse, IOC et protection.
Le groupe Akira Ransomware exploite une vulnérabilité zero-day dans VMware vCenter Server pour compromettre des infrastructures de virtualisation ESXi à grande échelle. Depuis début mars 2026, au moins 47 organisations ont été touchées en Europe et en Amérique du Nord, avec des rançons allant de 500 000 à 5 millions de dollars. Les attaquants utilisent la faille vCenter comme point d entrée initial, puis déploient un chiffreur Linux spécifiquement conçu pour les datastores VMFS. VMware a publié un correctif d urgence le 2 avril.
Chaîne d attaque observée
L analyse forensique des incidents révèle une chaîne d attaque en 5 phases :
- Accès initial : exploitation de la faille vCenter (CVSS 9.1) pour obtenir un shell sur le serveur vCenter
- Reconnaissance : inventaire des hosts ESXi, datastores et VMs critiques via les API vSphere
- Mouvement latéral : connexion SSH aux hosts ESXi avec les credentials vCenter compromises
- Exfiltration : copie des fichiers VMDK critiques vers un serveur de staging via rsync chiffré
- Chiffrement : déploiement du ransomware Akira Linux pour chiffrer les fichiers .vmdk, .vmx et .vmxf
| Phase | TTPs MITRE | Outils observés |
|---|---|---|
| Accès initial | T1190 | Exploit custom vCenter |
| Persistence | T1098 | Comptes locaux ESXi |
| Exfiltration | T1048 | rsync, rclone |
| Impact | T1486 | Akira Linux encryptor |
Mesures de protection immédiates
- Patcher vCenter immédiatement (VMSA-2026-0008)
- Isoler le management plane : vCenter et ESXi ne doivent jamais être exposés sur Internet
- Activer le lockdown mode sur tous les hosts ESXi
- Sauvegardes offline : vérifier que les sauvegardes Veeam/NAKIVO sont sur un réseau isolé
- MFA obligatoire sur les accès vSphere Client
Pour renforcer la sécurité de votre infrastructure de virtualisation, consultez nos guides sur le hardening Proxmox et la sécurisation ESXi/vSphere.
À retenir
Les infrastructures de virtualisation sont devenues la cible n°1 des groupes ransomware en 2026. Un seul vCenter compromis peut entraîner le chiffrement de centaines de VMs en quelques heures. Segmentez le management plane et maintenez des sauvegardes immuables offline.
Sources : VMware Security Advisories | Mandiant Threat Intel
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
JadePuffer : le premier ransomware piloté par LLM autonome frappe en 31 secondes
JadePuffer est le premier ransomware entièrement opéré par un agent LLM autonome. En 31 secondes, il a enchâîné CVE-2025-3248 (Langflow) et CVE-2021-29441 (Nacos) pour chiffrer 1 342 configurations via MySQL AES_ENCRYPT() — avec un défaut de stockage de clé rendant les données potentiellement irrécupérables.
FortiBleed : 430 000 FortiGate ciblés, INC Ransom et Lynx déploient un sniffer de credentials
La campagne FortiBleed a ciblé plus de 430 000 pare-feux FortiGate via des vulnérabilités FortiOS. Les groupes INC Ransom et Lynx ont déployé un sniffer interceptant les credentials VPN, avec 12 déploiements ransomware confirmés et 354 environnements intégralement compromis jusqu’au domain admin.
CVE-2026-45659 : RCE SharePoint activement exploitée, Storm-2603 déploie Warlock
Une RCE CVSS 8.8 dans Microsoft SharePoint Server est activement exploitée par Storm-2603 pour déployer le ransomware Warlock. Patch disponible depuis mai 2026, deadline CISA expirée, plus de 10 000 serveurs toujours exposés.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire