Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 8 Febbraio 2023 12:56
Gli esperti del Department of Homeland Security Cybersecurity and Infrastructure Protection Agency (DHS CISA) degli Stati Uniti hanno preparato uno script per ripristinare i server VMware ESXi che sono stati crittografati a seguito dei recenti attacchi ransomware ESXiArgs.
Come abbiamo riportato, per quanto riguarda l’Italia, le analisi del team di Red Hot Cyber hanno identificato solo 20 server crittografati, che poi sono calati a 16 nella giornata di ieri.
Tutto questo a causa di un attacco che ha coinvolto i server VMware ESXi, i quali sono stati violati dal nuovo ransomware ESXiArgs come parte di una campagna di hacking su larga scala.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Gli aggressori hanno sfruttato una vulnerabilità vecchia di due anni (monitorata come CVE-2021-21974) che consentiva loro di eseguire comandi remoti su server vulnerabili attraverso il servizio OpenSLP (porta 427).
Allo stesso tempo, gli sviluppatori di VMware hanno sottolineato che gli hacker sicuramente non hanno utilizzato alcuna vulnerabilità zero-day e OpenSLP dopo il 2021 è generalmente disabilitato per impostazione predefinita.
Cioè, gli aggressori hanno preso di mira prodotti che erano “significativamente obsoleti”, e di questi dalle nostre analisi ne risultavano parecchi compromessi (oltre 2000, poi arrivati a circa 3000). Infatti, secondo CISA, circa 2.800 server sono stati violati a livello mondiale con un picco in Francia.
Poco dopo l’inizio degli attacchi, Enes Sonmez, CTO di Yöre Grup, ha pubblicato un’ampia guida in cui ha descritto un metodo che consente agli amministratori VMware di decrittografare i server interessati, recuperando gratuitamente le loro macchine virtuali, senza pagare il riscatto di 2 bitcoin.
Il fatto è che sebbene molti dispositivi siano stati crittografati, si può affermare che la campagna dannosa nel suo complesso non ha avuto successo: gli aggressori non sono riusciti a crittografare i file flat in cui sono archiviati i dati del disco virtuale.
Tuttavia, il metodo descritto da Sonmez e dai suoi colleghi per il ripristino di macchine virtuali da file flat non crittografati si è rivelato troppo complicato per molti. Pertanto, gli esperti CISA hanno preparato uno script speciale per il ripristino dei server interessati, con il quale dovrebbero esserci molti meno problemi, poiché automatizza l’intero processo.
“Questo strumento funziona ripristinando i metadati della macchina virtuale da dischi virtuali che non sono stati crittografati da malware”
spiegano gli esperti.
Su GitHub è inoltre stata pubblicata una guida dettagliata all’utilizzo di questo script.
CISA incoraggia gli amministratori a rivedere e studiare lo script prima di iniziare il recupero per capire come funziona ed evitare possibili complicazioni.
Si consiglia inoltre vivamente di eseguire prima un backup dei file, per evitare di incorrere ad una ulteriore compromissione.
RedazioneSabato 9 maggio, al Teatro Italia di Roma, si è chiusa la Red Hot Cyber Conference 2025, l’appuntamento annuale gratuito creato dalla community di RHC dedicato alla sicurezza informatica, ...
La banda di criminali informatici di NOVA rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico al Comune di Pisa. Disclaimer: Questo rapporto include screenshot e/o tes...
Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi onl...
Per anni, Reddit è rimasto uno dei pochi angoli di Internet in cui era possibile discutere in tutta sicurezza di qualsiasi argomento, dai videogiochi alle criptovalute, dalla politica alle teorie...
Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
