Nell'ondata di ransomware, che, secondo BSI, colpisce migliaia di server in tutto il mondo, tra cui un numero medio di tre cifre di aziende tedesche, gli aggressori prendono di mira le server farm - i cosiddetti server ESXi - e quindi il cuore di ogni IT paesaggio. I server VMware ESXi obsoleti e senza patch che funzionano ancora con la vulnerabilità di febbraio 2021 sono stati attaccati in modo specifico.
Secondo il BSI - Federal Office for Information Security, migliaia di server che eseguivano la soluzione di virtualizzazione ESXi di VMware sono stati infettati da ransomware e molti sono stati anche crittografati in un diffuso attacco globale. Il focus regionale degli attacchi ai server VMware ESXi era su Francia, Stati Uniti, Germania e Canada - anche altri paesi sono interessati. Gli autori hanno approfittato di una vulnerabilità nota da tempo. La vulnerabilità stessa, che è elencata come CVE-2021-21974 e secondo CVSS con una gravità di 8.8 come "alta" - è stata rilasciata una patch dal produttore da febbraio 2021.
Questo è ciò che dice Trend Micro sull'attacco al server ESXi
🔎 Trend Micro: Richard Werner, consulente aziendale (Immagine: Trend Micro).
“Vediamo più e più volte che le aziende non sono preparate per tali problemi di terze parti. Esiste un normale processo di patch per Microsoft, ma non per produttori di terze parti, come VMware in questo caso. Perché il numero di patch non giustifica la creazione di un processo separato per esso. Inoltre, le aziende non chiudono la loro server farm solo per installare una singola patch. Gli aggressori sono consapevoli delle difficoltà che devono affrontare le loro vittime e quindi spesso sfruttano vulnerabilità che non si basano sulla tecnologia Microsoft.
Vulnerabilità ESXi già segnalata a VMware nell'ottobre 2020
In effetti, solo il 30% circa delle vulnerabilità utilizzate dagli aggressori si basa sul software del gigante tecnologico. Non è raro che gli hacker sfruttino attivamente le vulnerabilità del software senza patch. Secondo una ricerca di Trend Micro, circa l'86% di tutte le aziende di tutto il mondo presenta tali lacune. La Zero Day Initiative di Trend Micro ha segnalato la vulnerabilità, identificata come CVE-2021-21974 e classificata "alta" da CVSS con una gravità di 8.8, a VMware nell'ottobre 2020 e poi ha pubblicato congiuntamente una divulgazione responsabile della vulnerabilità (divulgazione responsabile) ", afferma Richard Werner, consulente aziendale presso Trend Micro.
Questo è ciò che dice Check Point sull'attacco al server ESXi
“Le interruzioni che si sono verificate negli ultimi giorni possono essere ricondotte proprio a questo attacco ransomware, che rappresenta una minaccia crescente non solo in paesi europei come Francia e Italia, ma in tutto il mondo. Nel luglio dello scorso anno, ThreatCloud di Check Point Research ha registrato un aumento del 59% anno su anno del ransomware a livello globale. Con questo aumento e l'attacco segnalato ieri, è opportuno ribadire che la prevenzione delle minacce informatiche deve essere una priorità assoluta per le imprese e le organizzazioni.
Anche le macchine non Windows sono ora a rischio
Questo massiccio attacco ai server ESXi è anche considerato uno dei più grandi attacchi informatici mai segnalati su macchine non Windows. Ciò che rende la situazione ancora più preoccupante è il fatto che fino a poco tempo fa gli attacchi ransomware erano limitati alle macchine basate su Windows. Gli aggressori hanno riconosciuto quanto siano importanti i server Linux per i sistemi di istituzioni e organizzazioni", afferma Lothar Geuenich, VP Central Europe / DACH di Check Point Software Technologies.
Questo è ciò che dice Barracuda sull'attacco al server ESXi
🔎 Barracuda Networks: Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security (Immagine: Barracuda Networks).
“Gli attacchi ransomware diffusi segnalati su sistemi VMware ESXi senza patch in Europa e altrove sembrano aver sfruttato una vulnerabilità che è stata corretta nel 2021. Ciò dimostra quanto sia importante aggiornare i sistemi di infrastrutture software critiche in modo assolutamente tempestivo. Non è sempre facile per le aziende aggiornare il software. Nel caso di questa patch, ad esempio, le aziende devono disattivare temporaneamente parti significative della loro infrastruttura IT. Ma è molto meglio sopportarlo piuttosto che essere colpiti da un attacco potenzialmente dannoso.
Le organizzazioni che utilizzano ESXi devono eseguire immediatamente l'aggiornamento all'ultima versione
La protezione dell'infrastruttura virtuale è fondamentale. Le macchine virtuali possono essere un bersaglio allettante per il ransomware poiché spesso eseguono servizi o funzioni aziendali sensibili e un attacco riuscito potrebbe causare interruzioni diffuse. È particolarmente importante garantire che l'accesso alla console di gestione di una macchina virtuale sia protetto e non possa, ad esempio, essere semplicemente accessibile tramite un account compromesso sulla rete aziendale", ha affermato Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security presso Barracuda Networks.
Questo è ciò che dice Artic Wolf sull'attacco al server ESXi
Nonostante i rapporti secondo cui gli attacchi ransomware riusciti siano in calo, l'attacco globale ai server in Europa e Nord America mostra che il ransomware è ancora una minaccia reale per le aziende e le organizzazioni di tutto il mondo. Sfruttando una vulnerabilità in VMWare, i criminali sono stati in grado di attaccare un importante fornitore che rifornisce più settori e persino paesi. Quindi è lecito ritenere che l'attacco continuerà a causare disagi diffusi a migliaia di persone per un po' di tempo a venire.
Le aziende dovrebbero rivedere costantemente l'attuale posizione di sicurezza
“Nella prima metà del 2022, più della metà di tutti gli incidenti di sicurezza sono stati causati dallo sfruttamento di vulnerabilità esterne. Una tendenza che può essere osservata: gli attori delle minacce prendono sempre più di mira organizzazioni di tutte le dimensioni, in particolare attraverso vulnerabilità note. Pertanto, è più importante che mai per le organizzazioni ottenere i fondamenti della sicurezza informatica corretti, ad es. B. attraverso patch coerenti e regolari.
Ciò significa lavorare con esperti per identificare la tecnologia giusta, formare i dipendenti sull'applicazione giusta e rivedere costantemente l'attuale situazione della sicurezza. In questo modo, possono assicurarsi di trovarsi nella migliore posizione possibile per reagire a nuove minacce e proteggersi nel miglior modo possibile. Inoltre, nel caso in cui alcuni sistemi si interrompano, i piani di emergenza sono fondamentali per consentire alle organizzazioni di continuare a operare", ha affermato Dan Schiappa, Chief Product Officer di lupo artico.
Questo è ciò che dice Tehtris sull'attacco al server ESXi
TEHTRIS ha pubblicato un'analisi dell'attacco ransomware ESXiArgs divenuto noto durante il fine settimana. Gli esperti di sicurezza sono giunti alla conclusione che gli attacchi sono stati preceduti da una serie di attività prima dell'attacco vero e proprio. Per la loro indagine, i ricercatori di sicurezza hanno analizzato in particolare le attività relative alla porta 427, che è di grande importanza negli attuali attacchi.
ESXiArgs ransomware: Attacchi non solo dal fine settimana
🔎 Attività registrate da Tehtris intorno alla porta 427 sui server ESXi (Immagine: Tehtris).
La campagna informatica ESXiArgs ha preso il nome perché crea un file .args per ogni documento crittografato. Grazie alla sua rete mondiale di honeypot, Tehtris è riuscita a stabilire che l'attacco divenuto noto durante il fine settimana non è iniziato solo pochi giorni fa. La sequenza temporale di seguito, basata sui dati di Tehtris dal 1° gennaio 2023, mostra che c'è stato un picco di attacchi alla porta 10 già il 24 e 427 gennaio. Queste attività sono poi riprese all'inizio di febbraio.
Alcuni degli IP dannosi che Tehtris sta monitorando in questo contesto nella sua rete di honeypot hanno cercato di rimanere nascosti prima del 3 febbraio. Anche se sono stati molto discreti effettuando una sola chiamata, hanno raggiunto un gran numero di honeypot. L'esame del pannello globale dell'honeypot mostra che la maggior parte degli attacchi in arrivo alla porta 427 prendono di mira la parte orientale degli Stati Uniti, la parte nord-orientale dell'Asia-Pacifico e l'Europa occidentale, e praticamente allo stesso livello. È possibile trovare ulteriori risultati dell'indagine, inclusa un'analisi degli indirizzi IP da cui provengono gli attacchi nell'ultimo post sul blog di Tehtris.