Advertisement

Cosa ci può insegnare l’attacco ai server ESXi in merito ai ransomware

 

Advertisement

I server VMware di tutto il mondo hanno subito un enorme cyberattacco mirato, il più grande attacco ransomware non-Windows mai registrato. Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, condivide maggiori dettagli sull’attacco informatico e mostra evoluzione e impatto degli attacchi ransomware.

 

Cosa è successo?

L’Agenzia per la Cybersicurezza Nazionale italiana e il Computer Emergency Response Team francese hanno condiviso il fatto che le organizzazioni di tutto il mondo hanno subito un attacco ransomware che ha colpito migliaia di server VMware ESXi, sfruttando una vulnerabilità (CVE-2021-21974) già patchata a febbraio 2021.

 

Dal momento che questi server forniscono servizi a migliaia di altri server, l’impatto sembra essere diffuso a livello globale, coinvolgendo organizzazioni in Francia, Finlandia, Italia, Canada e Stati Uniti.

VMware ha descritto la falla come una vulnerabilità heap-overflow di OpenSLP che potrebbe portare all’esecuzione di codice arbitrario.

 

Chi è interessato?

Tutti coloro che utilizzano macchine ESXi non patchate (CVE-2021-21974), esposte a Internet con la porta 427. Utilizzando una specifica query Censys, si può notare che ci sono già più di 1.900 dispositivi ESXi infetti. CVE-2021-21974 interessa i seguenti sistemi:

 

  • Versioni ESXi 7.x precedenti a ESXi70U1c-17325551
  • Versioni ESXi 6.7.x precedenti a ESXi670-202102401-SG
  • Versioni ESXi 6.5.x precedenti a ESXi650-202102101-SG

 

Il più grande attacco ransomware non-Windows mai registrato

Questo massiccio cyberattacco ai server ESXi è considerato uno degli attacchi ransomware più grandi mai registrati su macchine che non utilizzano Windows. Ora, gli attori delle minacce ransomware si sono resi conto di quanto siano cruciali i server Linux per i vari sistemi di istituzioni e organizzazioni. Questo, sicuramente, li ha spinti ad investire nello sviluppo di un’arma informatica così potente e a rendere il ransomware ancor più sofisticato.

 

Secondo l’analisi di Check Point Research (CPR), il rischio di questo attacco ransomware non è limitato solo ai service provider che sono stati presi di mira. Ciò che può rendere l’impatto ancora più devastante di questa vulnerabilità è l’utilizzo di questi server, su cui solitamente sono in esecuzione altri server virtuali. Pertanto, il danno è probabilmente diffuso, persino più di quanto riportato inizialmente.

 

L’evoluzione del ransomware

Agli albori, gli attacchi ransomware erano eseguiti da singoli individui che sviluppavano e distribuivano un numero elevato di payload automatici a vittime scelte casualmente, raccogliendo piccole somme da ogni attacco andato a buon fine. Proseguendo fino al 2023, si è assistito ad un’evoluzione del ransomware, con attacchi che sono diventati dei processi per lo più gestiti dall’uomo, effettuati da più entità nell’arco di diverse settimane. Gli aggressori selezionano accuratamente le vittime e mettono in atto una serie di tecniche per estorcere somme di denaro significative. Le minacce e le estorsioni che riguardavano la possibile esposizione dei dati sensibili rubati si sono dimostrate molto efficaci in ogni caso.

 

L’impatto degli attacchi ransomware sulle aziende (2022)

Secondo i dati riportati da CPR, a livello globale, almeno 1 organizzazione su 13 ha subito un tentativo di attacco ransomware nell’ultimo anno.

 

  • In APAC – 1 organizzazione su 11
  • In EMEA – 1 organizzazione su 12
  • Nelle Americhe – 1 organizzazione su 19

 

Secondo le analisi delle indicazioni iniziali sulle minacce rilevate dal CPIRT (Incident Response Services) nel 2022, quasi il 50% degli eventi osservati riguarda infezioni da ransomware. I dati del CPIRT mostrano che i rischi più gravi, visibili dal punto di vista delle grandi aziende, sono gli attacchi ransomware in piena regola e le compromissioni complete della rete.

Check Point Software commenta il recente attacco ransowmare globale

  

“L’attacco informatico all’infrastruttura italiana è ben diverso dagli attacchi che normalmente ci racconta la cronaca quotidiana, con danni e data breach rivolti a organizzazioni private. Questo attacco ransomware ha un impatto potenziale che potrebbe riversarsi sull’intera cittadinanza, producendo disagi a livello nazionale, o addirittura globale.

 

I possibili disservizi, da cui dipendiamo, e che si sono verificati in queste ore, sono da attribuire proprio a questo enorme attacco ransomware, una minaccia crescente non solo in Italia, ma in tutto il mondo. Già lo scorso luglio, il nostro threat intelligence, Check Point Research, aveva segnalato un aumento del ransomware del 59%, su base annua e a livello globale. Considerando questa crescita smisurata e l’attacco riportato ieri, è bene ribadire che, in questa era digitale, difendersi e prevenire le minacce informatiche deve essere la priorità numero uno di enti, organizzazioni e utenti privati. Una strategia di cybersecurity che coinvolga tutti, dal singolo cittadino ai vertici governativi è assolutamente vitale.” ha dichiarato Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies.

 

“Il recente e massiccio attacco informatico ai server ESXi è considerato il cyber attack più esteso mai segnalato a macchine non Windows. A rendere ancora più preoccupante la situazione è il fatto che fino a poco tempo fa gli attacchi ransomware erano limitati proprio alle macchine basate su Windows. Gli attori delle minacce ransomware hanno capito quanto siano cruciali i server Linux per i sistemi di enti e organizzazioni. Questo li ha sicuramente spinti a investire nello sviluppo di un’arma informatica così potente e a rendere il ransomware così sofisticato.

 

Secondo quanto analizzato anche dal nostro team di ricerca, l’attacco ransomware non si è fermato solo all’infrastruttura informatica italiana. I criminali informatici hanno sfruttato CVE-2021-21974, una falla già segnalata a febbraio 2021. Ma ciò che può rendere ancora più devastante l’impatto è l’utilizzo di questi server, sui quali solitamente sono in esecuzione altri server virtuali. Quindi, il danno è probabilmente diffuso su ampia scala, più di quanto possiamo immaginare.”

Informazione equidistante ed imparziale, che offre voce a tutte le fonti di informazione

Advertisement
Articolo precedenteINCONTRO COSTRUTTIVO CON SOTTOSEGRETARIO GEMMATO
Articolo successivo  PUBBLICO E CRITICA PREMIANO CARIBE BAY: IN PROGRAMMA NUOVI INVESTIMENTI

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui