Redazione RHC : 3 Giugno 2024 07:54
Il recente attacco hacker tramite ransomware ai server VMWare ESXi ha messo in luce le vulnerabilità che affliggono le infrastrutture IT delle imprese e della pubblica amministrazione. Questo articolo espone le cause e gli effetti dell’attacco e si concentra in particolare sul ransomware cryptolocker e sulle sue modalità di infiltrazione malevola. Attraverso un’analisi delle principali vulnerabilità note dei server VMWare ESXi, si evidenziano le lacune nelle difese informatiche delle aziende che li utilizzano. Inoltre, vengono esaminate le tecniche utilizzate dal ransomware per criptografare i file e richiedere un riscatto. Si discute anche l’importanza di agire tempestivamente per proteggere le infrastrutture IT, applicando patch di sicurezza. Infine, l’articolo suggerisce strumenti e soluzioni per migliorare la protezione delle infrastrutture IT.
Un ransomware cryptolocker è un ladro che ti cambia le serrature e ti lascia fuori di casa. Tutto succede però nel contesto dell’infrastruttura IT aziendale in cui il virus riesce a intrufolarsi con l’inganno. In questo articolo, raccontiamo che cos’è e come funziona questo tipo di malware a partire da un caso di cronaca significativo nel campo della cyber security: l’attacco sferrato ai server VMWare ESXi.
Rendi più sicura l’infrastruttura IT delle aziende clienti. SCRIVICI O CHIAMACI DA QUI
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’attacco informatico subito da centinaia di server VMWare ESXi nel mondo l’anno scorso rappresenta un esempio rivelatore della pericolosità dei ransomware cryptolocker. Il temporaneo blocco di molte infrastrutture IT basate su macchine virtuali a causa del virus è stato anche significativo di una generale debolezza delle misure di sicurezza informatica: la vulnerabilità sfruttata dal malware, in questo caso, era nota fin dal 2021.
Era già disponibile una patch apposita, ma non tutti l’hanno implementata. Molte imprese hanno lasciato le macchine su internet senza patch e senza un buon firewall a proteggerle. Queste mancanze hanno offerto il fianco alle azioni criminali degli hacker.
Cerchiamo ora di fare un identikit abbastanza circostanziato dei “patogeni” in codice di cui ci occupiamo in questo articolo: i virus cryptolocker. Appartengono al vasto universo del malware, collocandosi nella categoria dei ransomware, cioè di quegli applicativi malevoli che al danno aggiungono la richiesta di riscatto (“ransom” in inglese significa proprio “riscatto”).
Hanno però un’ulteriore caratteristica che li identifica come sottocategoria dei ransomware: utilizzano l’“encryption”, cioè sono applicativi che criptano file e documenti e li rendono inaccessibili. Per accedere, quindi, a contenuti e risorse salvate sul PC diventa necessaria una password, che resta nelle mani degli hacker, naturalmente.
In che modo si diffonde un virus cryptolocker?
Il lupo si nasconde sotto i boccoli dell’agnello. Quando un PC è stato infettato da un cryptolocker, cioè un temibile ransomware, c’è un download di mezzo, fatto volontariamente, e soprattutto incautamente.
La categoria di malware dei ransomware cryptolocker ha successo nel diffondersi da un device all’altro grazie alla capacità di mimetizzarsi sotto le spoglie di mittenti affidabili.
La facciata rassicurante e ingannevole scelta dagli hacker è quella di istituzioni come banche e poste. Il vettore del malware, così, diventa una email che sembra innocua, inviata da un ente di cui ci fidiamo.
Porta un allegato, un “dono dannoso”, che sembra un pdf, ma non lo è. Ci basta scaricarlo per far la frittata: un impiastro di risorse criptate dal virus che rendono inutile il nostro PC e potenzialmente tutta l’infrastruttura IT aziendale.
Tipicamente il documento che veicola il virus cryptolocker è allegato alla email sotto forma di file zip.
Al suo interno si trova il pdf fittizio. Ma perché non ci accorgiamo subito della contraffazione?
L’icona e l’estensione traggono in inganno per un motivo molto semplice: come impostazione predefinita i sistemi operativi Microsoft non fanno vedere direttamente le estensioni dei file, ma solo il loro nome.
Dunque, se il nome del file contiene nella parte finale “.pdf”, lo scambiamo effettivamente per quel tipo di formato. In realtà, se ci imbattiamo in un cryptolocker ransomware, si tratta di un eseguibile, un file con estensione “.exe”.
Non esiste in commercio un software specifico per la rimozione dei virus cryptolocker dai dispositivi infettati. Di sicuro è importante agire con tempestività: appena si manifesta l’attacco informatico, occorre preparare la reazione.
Se si colgono i segni dell’infezione prima della richiesta di riscatto – file con estensioni non familiari, modifiche dei loro nomi, allarme dello scanner antivirus – è possibile eliminare il malware impedendo che si diffonda ad altre macchine e risorse.
Esistono alcune soluzioni gratuite cui si può fare riferimento quando il danno da cryptolocker è fatto. Un passaggio importante per ripristinare il buono stato dell’infrastruttura IT aziendale è decriptare i file che hanno subito il trattamento dell’applicazione malevola.
Un attacco informatico causato da un virus cryptolocker, ci lascia in balìa di crucci e domande su come recuperare i file perduti. Dopo aver ricevuto il messaggio “abbiamo criptato i vostri file con il virus cryptolocker”, lo sconforto è inevitabile, e soprattutto il pandemonio in azienda, perché l’operatività è compromessa.
Il primo passo da fare è la disconnessione completa dalla rete internet, dal cloud, da periferiche, dispositivi cablati e wireless: in questo modo, blocchiamo la diffusione del software malevolo, impediamo che siano infettati altri device.
Dopo aver disconnesso il PC sotto attacco da internet e altri collegamenti virtuali o fisici, è bene avviare una scansione del software antivirus. Così, otteniamo una corretta identificazione di file pericolosi e minacce, elementi che possono conseguentemente essere rimossi o messi in quarantena.
Il decriptaggio dei file può essere effettuato attraverso uno strumento apposito: ce ne sono, per esempio, targati Avast. È sconsigliabile, invece, pagare il riscatto perché non c’è garanzia che effettivamente gli hacker procedano alla decriptazione e in più con il pagamento si alimenta un giro criminale.
Ultimo e fondamentale passaggio per ritornare all’operatività dell’infrastruttura IT aziendale è il ripristino dei backup. L’operazione è a portata di mano – o meglio, di competenze di tecnici informatici – se dati e risorse sono stati archiviati e conservati periodicamente e sistematicamente secondo criteri di ridondanza.
Insomma, la strada più sicura per difendersi da cryptolocker e ransomware di tutti i tipi è senz’altro la prevenzione, quindi l’implementazione di adeguate misure di sicurezza informatica.
Dagli attacchi ai server VMWare ESXi, abbiamo visto che non implementare le patch, cioè non fare i corretti aggiornamenti, mette in pericolo l’infrastruttura informatica aziendale. Dunque, un primo passo fondamentale per attuare una buona prevenzione dai cryptolocker e da ransomware di altro tipo è aggiornare sistema operativo e software secondo le indicazioni della casa di produzione.
È importante far sempre attenzione all’estensione dei file e alla provenienza delle email, evitando di cliccare precipitosamente su materiale sconosciuto.
Un’altra importante misura di sicurezza è il firewall.
Dotarsi, per esempio, del firewall Kerio Control è un’ottima soluzione per gestire da MSP le minacce in modo centralizzato. Kerio Control è uno strumento di ultima generazione: unisce un network firewall di router e rete aziendale, un gateway antivirus, un sistema IPS di protezione e rilevamento, VPN e altri filtri e applicativi per la sicurezza informatica.
L’antivirus N-able EDR gioca un ruolo chiave in una buona strategia di prevenzione degli attacchi informatici, anche di virus cryptolocker. Infatti, è una soluzione pensata per affrontare un contesto complesso in cui proliferano gli attacchi zero day, i malware fileless e i ransomware: questi ultimi, in particolare, costituiscono più della metà delle offensive hacker osservate dagli MSP.
N-able EDR utilizza IA e machine learning per reagire con maggior prontezza e proattività alle minacce informatiche, facendo analisi statistiche e previsioni sui nuovi schemi comportamentali. Mette a disposizione lo strumento rollback per i dispositivi infettati con sistema operativo Windows.
Ultimo nella lista ma essenziale per assicurare che dati e risorse dell’azienda siano sempre accessibili e recuperabili, è il backup. Si tratta, infatti, della risorsa imprescindibile per ogni processo di disaster recovery in seguito a un qualunque tipo di attacco informatico.
Validissima soluzione per gli MSP è 1Backup Enterprise di CoreTech, che garantisce tutta la sicurezza del cloud, con ben due copie di dati e risorse aziendali conservate nei datacenter.
RedazioneSygnia segnala che il vettore di attacco iniziale di Fire Ant CVE-2023-34048, sfrutta la vulnerabilità di scrittura fuori dai limiti nell’implementazione del protocollo DCERPC di vCenter S...
Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei...
Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Un...
le piante infestanti, se non vengono estirpate dalle radici rinasceranno, molto più vigorose di prima. Questo è il cybercrime e questa è la nuova rinascita, la quinta in assoluto dalle ...
Microsoft ha avviato un’indagine interna per chiarire se una fuga di informazioni riservate dal programma Microsoft Active Protections Program (MAPP) abbia permesso a hacker cinesi sponsorizzat...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
