Redazione RHC : 9 Febbraio 2023 09:51
Come abbiamo riportato recentemente, un attacco ransomware globale ha crittografato circa 3000 server VMware ESXi esposti a Internet utilizzando il nuovo ransomware ESXiArgs.
A livello Italia, non abbiamo avuto grossi impatti, ma la diffusione del ransomware a livello globale e soprattutto in certi paesi come la Francia, ha portato all’attenzione questa nuova minaccia che chiede 2 bitcoin per il ripristino delle infrastrutture violate.
Nella giornata di ieri abbiamo riportato che gli esperti del Department of Homeland Security Cybersecurity and Infrastructure Protection Agency (DHS CISA) hanno creato uno script per consentire il ripristino delle macchine crittografate, ma sembra che la situazione sia cambiata.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Infatti, i nuovi attacchi ransomware ESXiArgs stanno ora crittografando quantità di dati più estese, rendendo molto più difficile, se non impossibile, il ripristino di macchine virtuali VMware ESXi crittografate.
I rapporti preliminari hanno indicato che i dispositivi sono stati violati utilizzando le vecchie vulnerabilità SLP di VMware. Tuttavia, alcune vittime hanno affermato che SLP era disabilitato sui propri dispositivi ed è stato comunque violato e crittografato.
Dalle analisi di BleepingComputer, quando si crittografa un dispositivo, uno script “encrypt.sh” cerca i file della macchina virtuale che corrispondono alle seguenti estensioni:
.vmdk
.vmx
.vmxf
.vmsd
.vmsn
.vswp
.vmss
.nvram
.vmem
Per ogni file trovato, lo script controlla la dimensione del file e, se il file è inferiore a 128 MB, crittografa l’intero file con incrementi di 1 MB.
Tuttavia, per i file più grandi di 128 MB, calcolerebbe un ‘size_step’, che farebbe alternare il crittografo tra la crittografia di 1 MB di dati e la non crittografia di blocchi (il size_step in megabyte) di dati.
Lo script encrypt.sh utilizza la seguente formula per determinare quale size_step deve essere utilizzato:
size_step=((($size_in_kb/1024/100)-1))
Ciò significa che per un file da 4,5 GB, genererebbe un size_step di ’45’, facendo sì che il codificatore alterni una crittografia di 1 MB ad un salto di 45 MB del file. Quindi, un bel po ‘di dati rimane non crittografato al termine del processo di crittografia.
Per file ancora più grandi, come un file da 450 GB, la quantità di dati saltati aumenta drasticamente, con size_step che diventa “4607”, alternando la crittografia di 1 MB ad un salto di 4,49 GB di dati.
A causa di questi grandi blocchi di dati non crittografati, i ricercatori hanno ideato un metodo per ripristinare le macchine virtuali. Hanno utilizzato i file flat di grandi dimensioni e principalmente non crittografati, in cui sono archiviati i dati del disco della macchina virtuale.
Uno script creato da CISA ha successivamente automatizzato questo processo di recupero.
Sfortunatamente, una seconda ondata di ransomware ESXiArgs è iniziata oggi e include una routine di crittografia modificata che crittografa molti più dati in file di grandi dimensioni.
Un amministratore ha pubblicato sul forum di BleepingComputer un post sull’argomento ESXiArgs affermando che il suo server è stato crittografato e non poteva essere recuperato utilizzando i metodi che avevano funzionato in precedenza.
BleepingComputer ha notato che l’encryptor non era cambiato, ma la routine ‘size_step’ dello script encrypt.sh era stata eliminata e semplicemente impostata su 1 nella nuova versione.
Questa modifica è illustrata di seguito in un confronto tra il calcolo originale encrypt.sh size_step (a sinistra) nella prima ondata di attacchi, con il nuovo script (a destra) nella seconda ondata.
L’esperto di ransomware Michael Gillespie ha dichiarato a BleepingComputer che questa modifica fa sì che il crittografo alterni tra la crittografia di 1 MB di dati e il salto di 1 MB di dati.
Tutti i file superiori a 128 MB avranno ora il 50% dei loro dati crittografati, rendendoli probabilmente irrecuperabili.
Questa modifica impedisce inoltre agli strumenti di ripristino precedenti di ripristinare correttamente le macchine, poiché i file flat avranno troppi dati crittografati per essere utilizzabili.
Questa seconda ondata di attacco ha anche apportato una piccola modifica alla richiesta di riscatto non includendo più gli indirizzi bitcoin nella nota di riscatto, come mostrato di seguito.
La rimozione degli indirizzi bitcoin è probabilmente dovuta al fatto che tali indirizzi venivano raccolti dai ricercatori di sicurezza per tenere traccia dei pagamenti del riscatto.
Tuttavia, cosa ancora più preoccupante, l’amministratore che ha condiviso i nuovi campioni ha affermato di aver disabilitato SLP sul proprio server ma di essere stato comunque violato di nuovo.
Hanno anche controllato la backdoor vmtool.py vista negli attacchi precedenti e non è stata trovata. Con SLP disabilitato, diventa ancora più confuso il modo in cui questo server è stato violato.
RedazioneIn un mondo in cui la musica è da tempo migrata verso lo streaming e le piattaforme digitali, un appassionato ha deciso di tornare indietro di sei decenni, a un’epoca in cui le melodie potevano anc...
La frase “Costruiremo sicuramente un bunker prima di lanciare l’AGI” dal quale prende spunto l’articolo, è stata attribuita a uno dei leader della Silicon Valley, anche se non è chiaro a chi...
Negli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
