Attacco Hacker Ransomware globale: le conseguenze in Italia
Lo ha ribadito ultimamente anche il servizio di vigilanza della Agenzia per la Cybersicurezza Nazionale italiana. Il CSIRT infatti, ha messo in guardia sulle possibili conseguenze di un attacco Hacker Ransomware. La notizia è partita da amministratori, i provider di hosting e il team francese di risposta alle emergenze informatiche (CERT-FR). Tutti avvertono che gli aggressori prendono di mira attivamente i server VMware ESXi privi di patch. La vulnerabilità comunque consiste nell’esecuzione di codice da remoto, vecchia di due anni, per distribuire un nuovo ransomware ESXiArgs.
L’attacco Hacker Ransomware
Come si legge dal bollettino rilasciato dal CSIRT: la stima d’impatto della vulnerabilità sulla comunità di riferimento è alto/arancione. L’organo descrive di aver “rilevato il massiccio sfruttamento attivo in rete della vulnerabilità CVE-2021–21974 – già sanata nel febbraio 2021 – presente nei prodotti VMware ESXi.”
Il difetto di sicurezza è causato da un problema di heap overflow nel servizio OpenSLP che può essere sfruttato da autori di minacce non autenticati. Tale vulnerabilità potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target, in attacchi a bassa complessità.
Il sistema di virtualizzazione VMware è tra i più utilizzati in assoluto da un punto di vista aziendale e alla base di molte infrastrutture. Quindi colpire tale parte di una organizzazione vuol dire mettere a rischio buona parte dei sistemi server. Con gravi danni anche per la pubblica amministrazione, i sistemi bancari e altri servizi relativi come ospedali e asl.
L’attacco Hacker Ransomware ha messo quindi KO molti siti e server basati su tecnologia VMWare ESXi. Tale tipo di minaccia presuppone che chi attacca renda alcuni file del sistema inaccessibili tramite crittografia. Ed è proprio ciò che è successo a molte realtà italiane oltre che nel mondo, dove gli hacker hanno poi richiesto un riscatto in denaro. Nonostante la falla sia stata già risolta con una patch, sono i servizi citati sopra a destare maggiore preoccupazione.
Dettagli sul Ransomware ESXiArgs e risoluzione del problema
La minaccia informatica è denominata ESXiArgs, anche per via dell’estensione dei file crittografati (.args). La cosa peggiore però, è che potrebbe essere più pericolosa di quanto ci si aspettasse. Infatti, oltre a consentire a utenti esterni l’esecuzione di codice malevolo e furto di dati, causa anche altri danni. Come ad esempio il pericolo concreto che chi attacchi si impossessi totalmente del sistema colpito.
Una volta violato il server, il ransomware memorizza tutta una serie di file nella cartella /temp. L’eseguibile del programma di crypting, una shell per le esecuzioni preliminari, la chiave RSA e la nota di riscatto in duplice formato. Tutto in quella directory dedicata.
Nonostante tutto ciò, è possibile difendersi da tale attacco. Infatti, il malware pare crittografare piccoli file e in sostanza e gli esperti dicono che è possibile ripristinare i file anche senza chiave per la decrittazione. In ogni caso come misura preventiva si consiglia sempre l’aggiornamento con la patch, che è già presente. Per molti esperti del settore infatti, la minaccia poteva essere evitata e circoscritta dal momento che si basa su di una vecchia vulnerabilità.