La nuova minaccia per i server si chiama ESXiArgs: capiamo insieme ai nostri Engineer cosa sta succedendo nel mondo e come è possibile proteggersi da questo nuovo ransomware.
Il fine settimana scorso, il provider di hosting OVH e il CERT francese, hanno annunciato che più di 2100 server VMware ESXi sono stati compromessi dal nuovo ransomware ESXiArgs come parte di una massiccia campagna di hacking.
Il ramsonware sfrutta la vulnerabilità CVE-2021-21974, conosciuta da circa due anni e correlata a un overflow della memoria in OpenSLP, che può essere sfruttato da aggressori non autenticati in attacchi semplici ed efficaci.
CVE-2021-21974 interessa i seguenti sistemi:- ESXi versione 7.x (fino a ESXi70U1c-17325551);
- ESXi versione 6.7.x (fino a ESXi670-202102401-SG);
- ESXi versione 6.5.x (fino a ESXi650-202102101 -SG).
Il consiglio da parte del CERT è quello di installare le patch disponibili il prima possibile, eseguire una scansione su tutti i sistemi alla ricerca di segni di compromissione e, come ultima risorsa, disabilitare OpenSLP .
La vulnerabilità è molto critica se i server sono esposti su internet, mentre per i server non pubblicati, la vulnerabilità è sfruttabile solo dall'interno.
Cosa succede una volta attaccati?
Dopo essersi infiltrati nel sistema della vittima, gli hacker crittografano i file sul server ESXi e lasciano una richiesta di riscatto, chiedendo circa 45.000 euro in bitcoin per decrittografare i dati.
Sulla base dei dati raccolti, il ransomware crittografa i file .vmxf, .vmx, .vmdk, .vmsd e .nvram sui server compromessi e crea un file .args con metadati per ogni documento crittografato (probabilmente necessario per la decrittazione).
Ma perché questo ramsonware sta diventando particolarmente critico?
Un’analisi del malware da parte dell’esperto di sicurezza Michael Gillespie mostra che, sfortunatamente, il ransomware non ha punti deboli che consentirebbero alle vittime di recuperare i file senza pagare un riscatto. Gillespie ha anche notato che il malware utilizza l’algoritmo Sosemanuk, che è abbastanza unico e di solito viene utilizzato solo in ransomware basato sul codice sorgente Babuk (versione ESXi).
Il ricercatore ritiene che gli hacker possano aver modificato il codice per utilizzare RSA invece dell’implementazione Babuk Curve25519. Mentre le note di riscatto lasciate da ESXiArgs e Cheerscrypt sono molto simili, il metodo di crittografia è diverso. Gli esperti pertanto non sono ancora sicuri se il nuovo malware sia una sorta di variante di Cheerscrypt o se entrambe queste minacce siano semplicemente basate sul codice Babuk.
Cosa fare per intervenire tempestivamente
Attualmente sono stati crittografati oltre 3.200 server e circa un terzo di questi si trova in Francia. Attualmente in Italia i server compromessi sono circa una ventina ma, potrebbero aumentare.
I nostri Engineer consigliano di capire se si è esposti a questa minaccia e di applicare il workaround consigliato da VMware in tempi rapidi nel mentre che si organizzano gli aggiornamenti del caso con l'aiuto di un partner IT qualificato.
Quanture vi può sostenere in questo processo e vi invitiamo a contattare il nostro team di Supporto, già impegnato in queste ore sulla messa in sicurezza di questi sistemi.
