Le testate giornalistiche ne hanno parlato per giorni e le informazioni si susseguono.
Una cosa è certa: questa ondata di attacchi non si esaurisce solamente con lo sfruttamento della vulnerabilità VMware ESXi; ci accompagnerà nei prossimi mesi/anno con altre vulnerabilità che man mano verranno scoperte.
Detto questo, parliamo del fatto contingente: un gravissimo attacco ransomware è stato lanciato nel corso del week-end del 4-5 febbraio scorso in tutto il mondo: obiettivo i server VMware ESX, tra i più diffusi per la virtualizzazione dei server delle organizzazioni private e delle istituzioni pubbliche a tutti i livelli.
Si stima che circa 2.000 server (tra cui una ventina in Italia) siano stati oggetto dell’attacco, che ha sfruttato la vulnerabilità nota come CVE-2021-21974: una vulnerabilità di tipo buffer overflow in cui gli attaccanti, infiltrandosi nei sistemi attraverso la porta 247, forniscono ai programmi in esecuzione una serie di informazioni troppo grandi per essere gestite, con la conseguenza di riuscire a prendere il controllo degli ambienti.
Il ransomware, battezzato ESXI ARGS in quanto i dati sugli host vittima vengono cifrati con estensione “.args”, è partito inizialmente in Francia per poi estendersi in tutta Europa, con episodi rilevanti anche in Canada e negli Stati Uniti. La situazione è in continua evoluzione: i security team sono in allerta e raccomandano di aggiornare i sistemi con le ultime patch, di verificare la chiusura della porta 247 e di limitare al massimo l’esposizione dei server verso internet.
La vicenda è stata accompagnata, nel nostro Paese, da un ulteriore evento: TIM, principale provider italiano di TLC, ha avuto grossi problemi nella erogazione dei servizi, con un crollo nella velocità e della disponibilità della connessione internet. Dalle verifiche effettuate, il problema ha riguardato il flusso dati su rete internazionale, che ha generato un impatto anche in Italia: al momento, non si hanno evidenze di un legame tra i disservizi dell’operatore e l’attacco ransomware che sta tenendo con il fiato sospeso centinaia di aziende ed istituzioni in tutto il mondo.
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile e sicuro.
Si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware:
- Attivare un servizio EDR/XDR con potenzialità di analisi comportamentale per la protezione dagli attacchi di ultima generazione, .
- Formare adeguatamente il personale attraverso seminari di awareness e corsi formativi.
- Definire e implementare un piano di backup e ripristino dei dati per tutte le informazioni critiche (isolando i backup critici dalla rete).
- Mantenere il sistema operativo, tutto il software e gli antivirus sempre aggiornati con le patch più recenti.
https://thehackernews.com/2023/02/new-wave-of-ransomware-attacks.html