Redazione RHC : 3 Giugno 2024 07:54
Il recente attacco hacker tramite ransomware ai server VMWare ESXi ha messo in luce le vulnerabilità che affliggono le infrastrutture IT delle imprese e della pubblica amministrazione. Questo articolo espone le cause e gli effetti dell’attacco e si concentra in particolare sul ransomware cryptolocker e sulle sue modalità di infiltrazione malevola. Attraverso un’analisi delle principali vulnerabilità note dei server VMWare ESXi, si evidenziano le lacune nelle difese informatiche delle aziende che li utilizzano. Inoltre, vengono esaminate le tecniche utilizzate dal ransomware per criptografare i file e richiedere un riscatto. Si discute anche l’importanza di agire tempestivamente per proteggere le infrastrutture IT, applicando patch di sicurezza. Infine, l’articolo suggerisce strumenti e soluzioni per migliorare la protezione delle infrastrutture IT.
Un ransomware cryptolocker è un ladro che ti cambia le serrature e ti lascia fuori di casa. Tutto succede però nel contesto dell’infrastruttura IT aziendale in cui il virus riesce a intrufolarsi con l’inganno. In questo articolo, raccontiamo che cos’è e come funziona questo tipo di malware a partire da un caso di cronaca significativo nel campo della cyber security: l’attacco sferrato ai server VMWare ESXi.
Rendi più sicura l’infrastruttura IT delle aziende clienti. SCRIVICI O CHIAMACI DA QUI
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’attacco informatico subito da centinaia di server VMWare ESXi nel mondo l’anno scorso rappresenta un esempio rivelatore della pericolosità dei ransomware cryptolocker. Il temporaneo blocco di molte infrastrutture IT basate su macchine virtuali a causa del virus è stato anche significativo di una generale debolezza delle misure di sicurezza informatica: la vulnerabilità sfruttata dal malware, in questo caso, era nota fin dal 2021.
Era già disponibile una patch apposita, ma non tutti l’hanno implementata. Molte imprese hanno lasciato le macchine su internet senza patch e senza un buon firewall a proteggerle. Queste mancanze hanno offerto il fianco alle azioni criminali degli hacker.
Cerchiamo ora di fare un identikit abbastanza circostanziato dei “patogeni” in codice di cui ci occupiamo in questo articolo: i virus cryptolocker. Appartengono al vasto universo del malware, collocandosi nella categoria dei ransomware, cioè di quegli applicativi malevoli che al danno aggiungono la richiesta di riscatto (“ransom” in inglese significa proprio “riscatto”).
Hanno però un’ulteriore caratteristica che li identifica come sottocategoria dei ransomware: utilizzano l’“encryption”, cioè sono applicativi che criptano file e documenti e li rendono inaccessibili. Per accedere, quindi, a contenuti e risorse salvate sul PC diventa necessaria una password, che resta nelle mani degli hacker, naturalmente.
In che modo si diffonde un virus cryptolocker?
Il lupo si nasconde sotto i boccoli dell’agnello. Quando un PC è stato infettato da un cryptolocker, cioè un temibile ransomware, c’è un download di mezzo, fatto volontariamente, e soprattutto incautamente.
La categoria di malware dei ransomware cryptolocker ha successo nel diffondersi da un device all’altro grazie alla capacità di mimetizzarsi sotto le spoglie di mittenti affidabili.
La facciata rassicurante e ingannevole scelta dagli hacker è quella di istituzioni come banche e poste. Il vettore del malware, così, diventa una email che sembra innocua, inviata da un ente di cui ci fidiamo.
Porta un allegato, un “dono dannoso”, che sembra un pdf, ma non lo è. Ci basta scaricarlo per far la frittata: un impiastro di risorse criptate dal virus che rendono inutile il nostro PC e potenzialmente tutta l’infrastruttura IT aziendale.
Tipicamente il documento che veicola il virus cryptolocker è allegato alla email sotto forma di file zip.
Al suo interno si trova il pdf fittizio. Ma perché non ci accorgiamo subito della contraffazione?
L’icona e l’estensione traggono in inganno per un motivo molto semplice: come impostazione predefinita i sistemi operativi Microsoft non fanno vedere direttamente le estensioni dei file, ma solo il loro nome.
Dunque, se il nome del file contiene nella parte finale “.pdf”, lo scambiamo effettivamente per quel tipo di formato. In realtà, se ci imbattiamo in un cryptolocker ransomware, si tratta di un eseguibile, un file con estensione “.exe”.
Non esiste in commercio un software specifico per la rimozione dei virus cryptolocker dai dispositivi infettati. Di sicuro è importante agire con tempestività: appena si manifesta l’attacco informatico, occorre preparare la reazione.
Se si colgono i segni dell’infezione prima della richiesta di riscatto – file con estensioni non familiari, modifiche dei loro nomi, allarme dello scanner antivirus – è possibile eliminare il malware impedendo che si diffonda ad altre macchine e risorse.
Esistono alcune soluzioni gratuite cui si può fare riferimento quando il danno da cryptolocker è fatto. Un passaggio importante per ripristinare il buono stato dell’infrastruttura IT aziendale è decriptare i file che hanno subito il trattamento dell’applicazione malevola.
Un attacco informatico causato da un virus cryptolocker, ci lascia in balìa di crucci e domande su come recuperare i file perduti. Dopo aver ricevuto il messaggio “abbiamo criptato i vostri file con il virus cryptolocker”, lo sconforto è inevitabile, e soprattutto il pandemonio in azienda, perché l’operatività è compromessa.
Il primo passo da fare è la disconnessione completa dalla rete internet, dal cloud, da periferiche, dispositivi cablati e wireless: in questo modo, blocchiamo la diffusione del software malevolo, impediamo che siano infettati altri device.
Dopo aver disconnesso il PC sotto attacco da internet e altri collegamenti virtuali o fisici, è bene avviare una scansione del software antivirus. Così, otteniamo una corretta identificazione di file pericolosi e minacce, elementi che possono conseguentemente essere rimossi o messi in quarantena.
Il decriptaggio dei file può essere effettuato attraverso uno strumento apposito: ce ne sono, per esempio, targati Avast. È sconsigliabile, invece, pagare il riscatto perché non c’è garanzia che effettivamente gli hacker procedano alla decriptazione e in più con il pagamento si alimenta un giro criminale.
Ultimo e fondamentale passaggio per ritornare all’operatività dell’infrastruttura IT aziendale è il ripristino dei backup. L’operazione è a portata di mano – o meglio, di competenze di tecnici informatici – se dati e risorse sono stati archiviati e conservati periodicamente e sistematicamente secondo criteri di ridondanza.
Insomma, la strada più sicura per difendersi da cryptolocker e ransomware di tutti i tipi è senz’altro la prevenzione, quindi l’implementazione di adeguate misure di sicurezza informatica.
Dagli attacchi ai server VMWare ESXi, abbiamo visto che non implementare le patch, cioè non fare i corretti aggiornamenti, mette in pericolo l’infrastruttura informatica aziendale. Dunque, un primo passo fondamentale per attuare una buona prevenzione dai cryptolocker e da ransomware di altro tipo è aggiornare sistema operativo e software secondo le indicazioni della casa di produzione.
È importante far sempre attenzione all’estensione dei file e alla provenienza delle email, evitando di cliccare precipitosamente su materiale sconosciuto.
Un’altra importante misura di sicurezza è il firewall.
Dotarsi, per esempio, del firewall Kerio Control è un’ottima soluzione per gestire da MSP le minacce in modo centralizzato. Kerio Control è uno strumento di ultima generazione: unisce un network firewall di router e rete aziendale, un gateway antivirus, un sistema IPS di protezione e rilevamento, VPN e altri filtri e applicativi per la sicurezza informatica.
L’antivirus N-able EDR gioca un ruolo chiave in una buona strategia di prevenzione degli attacchi informatici, anche di virus cryptolocker. Infatti, è una soluzione pensata per affrontare un contesto complesso in cui proliferano gli attacchi zero day, i malware fileless e i ransomware: questi ultimi, in particolare, costituiscono più della metà delle offensive hacker osservate dagli MSP.
N-able EDR utilizza IA e machine learning per reagire con maggior prontezza e proattività alle minacce informatiche, facendo analisi statistiche e previsioni sui nuovi schemi comportamentali. Mette a disposizione lo strumento rollback per i dispositivi infettati con sistema operativo Windows.
Ultimo nella lista ma essenziale per assicurare che dati e risorse dell’azienda siano sempre accessibili e recuperabili, è il backup. Si tratta, infatti, della risorsa imprescindibile per ogni processo di disaster recovery in seguito a un qualunque tipo di attacco informatico.
Validissima soluzione per gli MSP è 1Backup Enterprise di CoreTech, che garantisce tutta la sicurezza del cloud, con ben due copie di dati e risorse aziendali conservate nei datacenter.
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006