Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 6 Febbraio 2023 16:28
Come abbiamo riportato in precedenza, il provider di hosting OVH e il CERT francese hanno avvertito che più di 2100 server VMware ESXi sono stati compromessi dal nuovo ransomware ESXiArgs lo scorso fine settimana come parte di una massiccia campagna di hacking.
Gli aggressori sfruttano una vulnerabilità vecchia di due anni (CVE-2021-21974) che consente loro di eseguire comandi remoti su server vulnerabili tramite OpenSLP (porta 427).
Questa vulnerabilità è correlata a un overflow della memoria in OpenSLP, che può essere sfruttato da aggressori non autenticati in attacchi semplici ed efficaci.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
CVE-2021-21974 interessa i seguenti sistemi:
Vale la pena notare che l’exploit per questo bug era disponibile già dalla primavera del 2021 ed è apparso poco dopo la divulgazione del bug. Non è del tutto chiaro perché gli aggressori abbiano iniziato a sfruttare questo bug solamente da qualche giorno.
Dopo essersi infiltrati nel sistema della vittima, gli hacker crittografano i file sul server ESXi e lasciano una richiesta di riscatto, chiedendo circa 2 bitcoin (vale a dire circa 45.000 euro) per decrittografare i dati.
“Secondo l’indagine, gli attacchi in questa campagna sembrano sfruttare la vulnerabilità CVE-2021-21974, la cui correzione è disponibile dal 23 febbraio 2021”, riferisce CERT-FR . “Attualmente, i sistemi target sono hypervisor ESXi versione 6.x e precedenti alla 6.7.”
CERT-FR raccomanda vivamente a tutti di installare le patch disponibili da tempo il prima possibile, nonché di eseguire la scansione di tutti i sistemi vulnerabili alla ricerca di segni di compromissione. Come ultima risorsa, gli esperti consigliano almeno di disabilitare OpenSLP .
In un’analisi condotta da esperti del fornitore di servizi cloud OVHcloud, il ransomware Nevada è stato accusato dei massicci attacchi. Gli esperti hanno scritto che “l’attacco prende di mira principalmente i server ESXi pre-7.0 U3i attraverso la porta OpenSLP (427)”.
Allo stesso tempo, altri esperti hanno suggerito che dietro gli attacchi potrebbe esserci una versione del ransomware Cheerscrypt, creata sulla base delle fonti del ransomware Babuk trapelate.
Tuttavia, alla fine, queste versioni si sono rivelate errate, poiché dietro gli attacchi sembra esserci un nuovo ransomware chiamato ESXiArgs.
Sulla base dei dati raccolti, la maggior parte delle organizzazioni utilizza server ESXi in hosting presso fornitori di servizi cloud.
Il ransomware crittografa i file .vmxf, .vmx, .vmdk, .vmsd e .nvram sui server compromessi e crea un file .args con metadati per ogni documento crittografato (probabilmente necessario per la decrittazione).
Sebbene gli operatori del malware affermino di rubare i dati prima della crittografia dei server, le vittime negano questa affermazione.
Un’analisi del malware da parte dell’esperto di sicurezza Michael Gillespie di ID Ransomware mostra che, sfortunatamente, il ransomware non ha evidenti “punti deboli” che consentirebbero alle vittime di recuperare i file senza pagare un riscatto. Gillespie ha anche notato che il malware utilizza l’algoritmo Sosemanuk, che è abbastanza unico e di solito viene utilizzato solo in ransomware basato sul codice sorgente Babuk (versione ESXi).
Il ricercatore ritiene che gli hacker possano aver modificato il codice per utilizzare RSA invece dell’implementazione Babuk Curve25519. Mentre le note di riscatto lasciate da ESXiArgs e Cheerscrypt menzionate sopra sono molto simili, il metodo di crittografia è diverso.
Pertanto, mentre gli esperti non sono sicuri se il nuovo malware sia una sorta di variante di Cheerscrypt o se entrambe queste minacce siano semplicemente basate sul codice Babuk.
Il provider cloud francese OVH e il CERT francese sono stati i primi a segnalare quanto stava accadendo, poiché la Francia ospita la maggior parte dei server interessati. Ad esempio, secondo i dati Censys (ricerca del file della richiesta di riscatto).
Attualmente sono crittografati oltre 3.200 server e circa un terzo si trova in Francia. In Italia il numero di server compromessi sono al momento 19 e rimangono stabili rispetto alla giornata di ieri.
RedazioneUna nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
