De plus, il est généralement recommandé d’isoler les interfaces d’administration des hyperviseurs ESXi d’Internet. Néanmoins, de nombreux serveurs ESXi fonctionnant sous d’anciennes versions exposent leurs interfaces d’administration sur Internet et Onyphe compte au 5 février 2 112 adresses IP compromises [4]. L’attaque a touché toutes sortes d’organisations : entreprises, associations et collectivités. Elle touche principalement la France et dans une moindre mesure l’Europe ainsi que l’Amérique du Nord [5- cartographie source Shodan]. Des chercheurs en sécurité ont proposé une méthode de récupération qui permettrait de récupérer les fichiers affectés par le rançongiciel. Celle-ci n’est efficace que dans le cas où le rançongiciel a été arrêté avant la fin du chiffrement, par exemple en cas de plantage ou d’action de l’administrateur [6] »

------------------------------
Sources :
[1] Informations on the on progress attack : https://twitter.com/okangrs34/status/1621533666617839618
[2] Breach actively exploited : https://status.scaleway.com/incidents/4kc6zfv3r3s8
[3] Vmware security advisory : https://www.vmware.com/security/advisories/VMSA-2022-0030.html
[4] Tweet d’Onyphe : https://twitter.com/onyphe/status/1622272331421736962
[5] Répartition des victimes : https://www.shodan.io/search?query=http.title%3A%22How+to+Restore+your+Files%22
[6] Récupération des données : https://enes.dev/
[7] Article on the ransomware attack : https://www.lemondeinformatique.fr/actualites/lire-le-ransomware-nevada-vise-les-environnements-linux-esxi-89424.html