Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 6 Febbraio 2023 16:28
Come abbiamo riportato in precedenza, il provider di hosting OVH e il CERT francese hanno avvertito che più di 2100 server VMware ESXi sono stati compromessi dal nuovo ransomware ESXiArgs lo scorso fine settimana come parte di una massiccia campagna di hacking.
Gli aggressori sfruttano una vulnerabilità vecchia di due anni (CVE-2021-21974) che consente loro di eseguire comandi remoti su server vulnerabili tramite OpenSLP (porta 427).
Questa vulnerabilità è correlata a un overflow della memoria in OpenSLP, che può essere sfruttato da aggressori non autenticati in attacchi semplici ed efficaci.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
CVE-2021-21974 interessa i seguenti sistemi:
Vale la pena notare che l’exploit per questo bug era disponibile già dalla primavera del 2021 ed è apparso poco dopo la divulgazione del bug. Non è del tutto chiaro perché gli aggressori abbiano iniziato a sfruttare questo bug solamente da qualche giorno.
Dopo essersi infiltrati nel sistema della vittima, gli hacker crittografano i file sul server ESXi e lasciano una richiesta di riscatto, chiedendo circa 2 bitcoin (vale a dire circa 45.000 euro) per decrittografare i dati.
“Secondo l’indagine, gli attacchi in questa campagna sembrano sfruttare la vulnerabilità CVE-2021-21974, la cui correzione è disponibile dal 23 febbraio 2021”, riferisce CERT-FR . “Attualmente, i sistemi target sono hypervisor ESXi versione 6.x e precedenti alla 6.7.”
CERT-FR raccomanda vivamente a tutti di installare le patch disponibili da tempo il prima possibile, nonché di eseguire la scansione di tutti i sistemi vulnerabili alla ricerca di segni di compromissione. Come ultima risorsa, gli esperti consigliano almeno di disabilitare OpenSLP .
In un’analisi condotta da esperti del fornitore di servizi cloud OVHcloud, il ransomware Nevada è stato accusato dei massicci attacchi. Gli esperti hanno scritto che “l’attacco prende di mira principalmente i server ESXi pre-7.0 U3i attraverso la porta OpenSLP (427)”.
Allo stesso tempo, altri esperti hanno suggerito che dietro gli attacchi potrebbe esserci una versione del ransomware Cheerscrypt, creata sulla base delle fonti del ransomware Babuk trapelate.
Tuttavia, alla fine, queste versioni si sono rivelate errate, poiché dietro gli attacchi sembra esserci un nuovo ransomware chiamato ESXiArgs.
Sulla base dei dati raccolti, la maggior parte delle organizzazioni utilizza server ESXi in hosting presso fornitori di servizi cloud.
Il ransomware crittografa i file .vmxf, .vmx, .vmdk, .vmsd e .nvram sui server compromessi e crea un file .args con metadati per ogni documento crittografato (probabilmente necessario per la decrittazione).
Sebbene gli operatori del malware affermino di rubare i dati prima della crittografia dei server, le vittime negano questa affermazione.
Un’analisi del malware da parte dell’esperto di sicurezza Michael Gillespie di ID Ransomware mostra che, sfortunatamente, il ransomware non ha evidenti “punti deboli” che consentirebbero alle vittime di recuperare i file senza pagare un riscatto. Gillespie ha anche notato che il malware utilizza l’algoritmo Sosemanuk, che è abbastanza unico e di solito viene utilizzato solo in ransomware basato sul codice sorgente Babuk (versione ESXi).
Il ricercatore ritiene che gli hacker possano aver modificato il codice per utilizzare RSA invece dell’implementazione Babuk Curve25519. Mentre le note di riscatto lasciate da ESXiArgs e Cheerscrypt menzionate sopra sono molto simili, il metodo di crittografia è diverso.
Pertanto, mentre gli esperti non sono sicuri se il nuovo malware sia una sorta di variante di Cheerscrypt o se entrambe queste minacce siano semplicemente basate sul codice Babuk.
Il provider cloud francese OVH e il CERT francese sono stati i primi a segnalare quanto stava accadendo, poiché la Francia ospita la maggior parte dei server interessati. Ad esempio, secondo i dati Censys (ricerca del file della richiesta di riscatto).
Attualmente sono crittografati oltre 3.200 server e circa un terzo si trova in Francia. In Italia il numero di server compromessi sono al momento 19 e rimangono stabili rispetto alla giornata di ieri.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
