A compromettere migliaia di server in tutto il mondo (e decine in Italia), è stato un attacco hacker massiccio che ha colpito non pochi server VMware ESXi vulnerabili. Al centro di questo attacco ci sono molte vulnerabilità, ormai conosciute da tempo, di questi server. Ma, nel dettaglio, come funziona questo tipo di attacchi e quali sono i danni che questo tipo di attacco può provocare?
Come funziona un attacco ransomware
Negli ultimi anni, gli attacchi ransomware sono diventati una preoccupazione crescente per aziende e privati. Il ransomware è un tipo di software dannoso che gli aggressori informatici utilizzano per crittografare i file sul computer o sulla rete delle vittime. L’hacker richiede quindi un pagamento di riscatto in cambio della chiave di decrittazione per sbloccare i file. Gli attacchi ransomware possono causare perdite finanziarie significative, perdita di dati e tempi di inattività del sistema.
Il ransomware viene generalmente diffuso tramite e-mail di phishing che contengono collegamenti o allegati dannosi. Gli aggressori informatici utilizzano anche altri metodi come siti Web dannosi, aggiornamenti software falsi e download drive-by.
Il passaggio più importante per proteggersi da un attacco ransomware è eseguire regolarmente il backup dei dati. Inoltre, è importante rimanere aggiornati sulle ultime patch di sicurezza ed essere consapevoli delle e-mail di phishing e di altri vettori di attacco comuni. È anche importante disporre di una soluzione di sicurezza completa in grado di rilevare e bloccare il ransomware prima che possa crittografare i file sul sistema.
I dettagli tecnici dell’attacco hacker
Nel 2021, CERT-FR e il CSIRT hanno segnalato diverse vulnerabilità critiche in VMware ESXi, una piattaforma di virtualizzazione ampiamente utilizzata nell’ambiente aziendale. Queste vulnerabilità, identificate come CVE-2022-31696, CVE-2022-31697, CVE-2022-31698 e CVE-2022-31699, possono consentire a un utente malintenzionato di eseguire codice arbitrario su un host remoto, portando al furto di dati e ad altre attività dannose.
Si ritiene che si tratti di una nuova famiglia di ransomware chiamata ESXiArgs, che crittografa solo piccoli file e causa la messa offline del server, ma non l’estrazione di dati. Quando il server viene violato, vengono memorizzati nella cartella /tmp: un eseguibile ELF del criptografo, uno script di shell, una chiave RSA pubblica, una nota di riscatto in testo e HTML e un file originale del server.
Quali sono i rischi di questo tipo di attacchi?
Il primo rischio di questi attacchi riguarda il fatto che il bersaglio è una delle piattaforme più diffuse in assoluto alla base delle infrastrutture, il sistema di virtualizzazione VMware. Per un’organizzazione, se la piattaforma viene compromessa, la maggior parte dei sistemi server diventa vulnerabile.
Il secondo rischio è che nonostante la vulnerabilità nota, le organizzazioni non hanno avuto la possibilità di prepararsi in tempo. Da considerare è anche la possibilità che l’aggiornamento (che avrebbe coperto le vulnerabilità) non sia stato compatibile con le tecnologie in uso, così da dover scegliere tra il rischio di malfunzionamenti o di attacchi.
Conclusioni
Tirando le somme, la situazione in Italia sembra sotto controllo (una ventina di server su circa 600 vulnerabili) e quindi, anche se grave, il rischio sembrerebbe abbastanza ridotto per i server italiani. Ciò nonostante, questo evento ha sicuramente contribuito a dare una spinta verso la maggior prevenzione da attacchi di questo tipo.