Cosa ci può insegnare l’attacco ai server ESXi in merito ai ransomware

di Redazione

I server VMware di tutto il mondo hanno subito un enorme cyberattacco mirato, il più grande attacco ransomware non-Windows mai registrato.

Check Point® Software Technologies Ltd. , il principale fornitore di soluzioni di cybersecurity a livello globale, condivide maggiori dettagli sull’attacco informatico e mostra evoluzione e impatto degli attacchi ransomware.

Cosa è successo?

L’Agenzia per la Cybersicurezza Nazionale italiana e il Computer Emergency Response Team francese hanno condiviso il fatto che le organizzazioni di tutto il mondo hanno subito un attacco ransomware che ha colpito migliaia di server VMware ESXi, sfruttando una vulnerabilità (CVE-2021-21974) già patchata a febbraio 2021.
Dal momento che questi server forniscono servizi a migliaia di altri server, l’impatto sembra essere diffuso a livello globale, coinvolgendo organizzazioni in Francia, Finlandia, Italia, Canada e Stati Uniti.

VMware ha descritto la falla come una vulnerabilità heap-overflow di OpenSLP che potrebbe portare all’esecuzione di codice arbitrario.

Chi è interessato?

Tutti coloro che utilizzano macchine ESXi non patchate (CVE-2021-21974), esposte a Internet con la porta 427. CVE-2021-21974 interessa i seguenti sistemi:
· Versioni ESXi 7.x precedenti a ESXi70U1c-17325551
· Versioni ESXi 6.7.x precedenti a ESXi670-202102401-SG
· Versioni ESXi 6.5.x precedenti a ESXi650-202102101-SG

Il più grande attacco ransomware non-Windows mai registrato

Questo massiccio cyberattacco ai server ESXi è considerato uno degli attacchi ransomware più grandi mai registrati su macchine che non utilizzano Windows. Ora, gli attori delle minacce ransomware si sono resi conto di quanto siano cruciali i server Linux per i vari sistemi di istituzioni e organizzazioni. Questo, sicuramente, li ha spinti ad investire nello sviluppo di un’arma informatica così potente e a rendere il ransomware ancor più sofisticato.
Secondo l’analisi di Check Point Research (CPR), il rischio di questo attacco ransomware non è limitato solo ai service provider che sono stati presi di mira. Ciò che può rendere l’impatto ancora più devastante di questa vulnerabilità è l’utilizzo di questi server, su cui solitamente sono in esecuzione altri server virtuali. Pertanto, il danno è probabilmente diffuso, persino più di quanto riportato inizialmente.

L’evoluzione del ransomware

Agli albori, gli attacchi ransomware erano eseguiti da singoli individui che sviluppavano e distribuivano un numero elevato di payload automatici a vittime scelte casualmente, raccogliendo piccole somme da ogni attacco andato a buon fine.

Proseguendo fino al 2023, si è assistito ad un’evoluzione del ransomware, con attacchi che sono diventati dei processi per lo più gestiti dall’uomo, effettuati da più entità nell’arco di diverse settimane. Gli aggressori selezionano accuratamente le vittime e mettono in atto una serie di tecniche per estorcere somme di denaro significative. Le minacce e le estorsioni che riguardavano la possibile esposizione dei dati sensibili rubati si sono dimostrate molto efficaci in ogni caso.

L’impatto degli attacchi ransomware sulle aziende (2022)

Secondo i dati riportati da CPR: a livello globale, almeno 1 organizzazione su 13 ha subito un tentativo di attacco ransomware nell’ultimo anno.
· In APAC – 1 organizzazione su 11
· In EMEA – 1 organizzazione su 12
· Nelle Americhe – 1 organizzazione su 19

Secondo le analisi delle indicazioni iniziali sulle minacce rilevate dal CPIRT (Incident Response Services) nel 2022, quasi il 50% degli eventi osservati riguarda infezioni da ransomware. I dati del CPIRT mostrano che i rischi più gravi, visibili dal punto di vista delle grandi aziende, sono gli attacchi ransomware in piena regola e le compromissioni complete della rete.