Redazione RHC : 6 Febbraio 2023 16:28
Come abbiamo riportato in precedenza, il provider di hosting OVH e il CERT francese hanno avvertito che più di 2100 server VMware ESXi sono stati compromessi dal nuovo ransomware ESXiArgs lo scorso fine settimana come parte di una massiccia campagna di hacking.
Gli aggressori sfruttano una vulnerabilità vecchia di due anni (CVE-2021-21974) che consente loro di eseguire comandi remoti su server vulnerabili tramite OpenSLP (porta 427).
Questa vulnerabilità è correlata a un overflow della memoria in OpenSLP, che può essere sfruttato da aggressori non autenticati in attacchi semplici ed efficaci.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
CVE-2021-21974 interessa i seguenti sistemi:
Vale la pena notare che l’exploit per questo bug era disponibile già dalla primavera del 2021 ed è apparso poco dopo la divulgazione del bug. Non è del tutto chiaro perché gli aggressori abbiano iniziato a sfruttare questo bug solamente da qualche giorno.
Dopo essersi infiltrati nel sistema della vittima, gli hacker crittografano i file sul server ESXi e lasciano una richiesta di riscatto, chiedendo circa 2 bitcoin (vale a dire circa 45.000 euro) per decrittografare i dati.
“Secondo l’indagine, gli attacchi in questa campagna sembrano sfruttare la vulnerabilità CVE-2021-21974, la cui correzione è disponibile dal 23 febbraio 2021”, riferisce CERT-FR . “Attualmente, i sistemi target sono hypervisor ESXi versione 6.x e precedenti alla 6.7.”
CERT-FR raccomanda vivamente a tutti di installare le patch disponibili da tempo il prima possibile, nonché di eseguire la scansione di tutti i sistemi vulnerabili alla ricerca di segni di compromissione. Come ultima risorsa, gli esperti consigliano almeno di disabilitare OpenSLP .
In un’analisi condotta da esperti del fornitore di servizi cloud OVHcloud, il ransomware Nevada è stato accusato dei massicci attacchi. Gli esperti hanno scritto che “l’attacco prende di mira principalmente i server ESXi pre-7.0 U3i attraverso la porta OpenSLP (427)”.
Allo stesso tempo, altri esperti hanno suggerito che dietro gli attacchi potrebbe esserci una versione del ransomware Cheerscrypt, creata sulla base delle fonti del ransomware Babuk trapelate.
Tuttavia, alla fine, queste versioni si sono rivelate errate, poiché dietro gli attacchi sembra esserci un nuovo ransomware chiamato ESXiArgs.
Sulla base dei dati raccolti, la maggior parte delle organizzazioni utilizza server ESXi in hosting presso fornitori di servizi cloud.
Il ransomware crittografa i file .vmxf, .vmx, .vmdk, .vmsd e .nvram sui server compromessi e crea un file .args con metadati per ogni documento crittografato (probabilmente necessario per la decrittazione).
Sebbene gli operatori del malware affermino di rubare i dati prima della crittografia dei server, le vittime negano questa affermazione.
Un’analisi del malware da parte dell’esperto di sicurezza Michael Gillespie di ID Ransomware mostra che, sfortunatamente, il ransomware non ha evidenti “punti deboli” che consentirebbero alle vittime di recuperare i file senza pagare un riscatto. Gillespie ha anche notato che il malware utilizza l’algoritmo Sosemanuk, che è abbastanza unico e di solito viene utilizzato solo in ransomware basato sul codice sorgente Babuk (versione ESXi).
Il ricercatore ritiene che gli hacker possano aver modificato il codice per utilizzare RSA invece dell’implementazione Babuk Curve25519. Mentre le note di riscatto lasciate da ESXiArgs e Cheerscrypt menzionate sopra sono molto simili, il metodo di crittografia è diverso.
Pertanto, mentre gli esperti non sono sicuri se il nuovo malware sia una sorta di variante di Cheerscrypt o se entrambe queste minacce siano semplicemente basate sul codice Babuk.
Il provider cloud francese OVH e il CERT francese sono stati i primi a segnalare quanto stava accadendo, poiché la Francia ospita la maggior parte dei server interessati. Ad esempio, secondo i dati Censys (ricerca del file della richiesta di riscatto).
Attualmente sono crittografati oltre 3.200 server e circa un terzo si trova in Francia. In Italia il numero di server compromessi sono al momento 19 e rimangono stabili rispetto alla giornata di ieri.
RedazioneIl colosso della tecnologia ha annunciato la creazione di un nuovo team di sviluppo per un’intelligenza artificiale “sovrumana” che supererà in accuratezza gli esperti umani nelle diagnosi medi...
Nel 2025, gli utenti fanno ancora molto affidamento sulle password di base per proteggere i propri account. Uno studio di Comparitech, basato sull’analisi di oltre 2 miliardi di password reali trape...
Numerosi apprezzamenti stanno arrivando per Elon Musk, che continua a guidare con destrezza le molteplici attività del suo impero, tra cui Tesla, SpaceX, xAI e Starlink, mantenendo salda la sua posiz...
Tre ex dipendenti di DigitalMint, che hanno indagato sugli incidenti ransomware e negoziato con i gruppi di ransomware, sono accusati di aver hackerato le reti di cinque aziende americane. Secondo il ...
Cisco ha reso noto recentemente di aver scoperto una nuova tipologia di attacco informatico mirato a compromettere i dispositivi che operano con i software Cisco Secure Firewall Adaptive Security Appl...
