Ransomware REvil: encryptor bersaglia le macchine virtuali ESXi
La versione Linux di un rodato encryptor per Windows permette ai criminali del gruppo REvil di crittografare le macchine virtuali ESXi.
Con la trasformazione digitale le aziende stanno impiegando con sempre maggiore incidenza le macchine virtuali per i backup, per la gestione dei dispositivi e in generale per semplificare e ottimizzare l'efficientamento delle risorse. Questo cambio di rotta non è passato inosservato ai cyber criminali.
Dapprima gruppi ransomware hanno imitato le aziende sfruttando le macchine virtuali per bypassare i controlli di sicurezza. Poi hanno sfruttato le falle dell'hypervisor VMWare ESXi per crittografare i dischi delle macchine virtuali. L'ultimo passo evolutivo in termini di tempo è la realizzazione di un enryptor Linux espressamente progettato per crittografare le macchine virtuali VMware ESXi.
L'operazione è firmata dal gruppo ransomware REvil, alias Sodinokibi, uno dei più attivi in questo momento e con una buona disponibilità finanziaria che gli permette di sviluppare nuovi progetti. Ha creato una versione Linux dell'encryptor originale per Windows, che ha la peculiarità di funzionare sui server ESXi.
La nuova arma è stata scovata dai ricercatori di sicurezza del MalwareHunterTeam. Si tratta di un eseguibile ELF64 che include le stesse opzioni di configurazione utilizzate dal più comune eseguibile di Windows. Quando viene eseguito su un server, l'attaccante può specificare il percorso di crittografia e abilitare una modalità invisibile all'utente.
Se eseguito su un server ESXi, tramite lo strumento da riga di comando esxcli l'attaccante può elencare tutte le macchine virtuali ESXi in esecuzione e terminarle. Il comando viene utilizzato per chiudere i file del disco della macchina virtuale (VMDK) memorizzati nella cartella /vmfs/, in modo che il malware ransomware REvil possa crittografarli senza che vengano bloccati da ESXi.
Gli aspetti inquietanti sono almeno due. Il primo è che gli operatori di REvil possono crittografare molti server contemporaneamente con un singolo comando. Il secondo è che l'encryptor Linux non è un'esclusiva di REvil: secondo gli esperti dispongono di armi analoghe anche i gruppi quali RansomExx / Defray, Mespinoza, GoGoogle, DarkSide e Hellokitty.
È quindi chiara la direzione intrapresa dal cyber crime: i server virtuali sono sempre più popolari, quindi poterli attaccare è un requisito fondamentale per proseguire con le operazioni lucrose come gli attacchi ransomware. Prendendo di mira VMware ESXi c'è una elevata possibilità di poter colpire molte aziende.
Dapprima gruppi ransomware hanno imitato le aziende sfruttando le macchine virtuali per bypassare i controlli di sicurezza. Poi hanno sfruttato le falle dell'hypervisor VMWare ESXi per crittografare i dischi delle macchine virtuali. L'ultimo passo evolutivo in termini di tempo è la realizzazione di un enryptor Linux espressamente progettato per crittografare le macchine virtuali VMware ESXi.
L'operazione è firmata dal gruppo ransomware REvil, alias Sodinokibi, uno dei più attivi in questo momento e con una buona disponibilità finanziaria che gli permette di sviluppare nuovi progetti. Ha creato una versione Linux dell'encryptor originale per Windows, che ha la peculiarità di funzionare sui server ESXi.
La nuova arma è stata scovata dai ricercatori di sicurezza del MalwareHunterTeam. Si tratta di un eseguibile ELF64 che include le stesse opzioni di configurazione utilizzate dal più comune eseguibile di Windows. Quando viene eseguito su un server, l'attaccante può specificare il percorso di crittografia e abilitare una modalità invisibile all'utente.
Se eseguito su un server ESXi, tramite lo strumento da riga di comando esxcli l'attaccante può elencare tutte le macchine virtuali ESXi in esecuzione e terminarle. Il comando viene utilizzato per chiudere i file del disco della macchina virtuale (VMDK) memorizzati nella cartella /vmfs/, in modo che il malware ransomware REvil possa crittografarli senza che vengano bloccati da ESXi.
Gli aspetti inquietanti sono almeno due. Il primo è che gli operatori di REvil possono crittografare molti server contemporaneamente con un singolo comando. Il secondo è che l'encryptor Linux non è un'esclusiva di REvil: secondo gli esperti dispongono di armi analoghe anche i gruppi quali RansomExx / Defray, Mespinoza, GoGoogle, DarkSide e Hellokitty. È quindi chiara la direzione intrapresa dal cyber crime: i server virtuali sono sempre più popolari, quindi poterli attaccare è un requisito fondamentale per proseguire con le operazioni lucrose come gli attacchi ransomware. Prendendo di mira VMware ESXi c'è una elevata possibilità di poter colpire molte aziende.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Set 10
Kaspersky - NIS 2 last call, tutto quello che ti serve sapere... prima che sia troppo tardi
Set 16
ASUS Business Roadshow - Roma
Set 19
CORSO DI CERTIFICAZIONE OMADA OCNA LITE - Roma
Set 19
APETECH 3D - RoadShow by Elmec 3D - Firenze
Set 24
Corso tecnico DataCore SanSymphony per ottenere la certificazione DCIE
Set 26
Road to NIS2 - Bari
Set 26
APETECH 3D - RoadShow by Elmec 3D - Torino
Ott 01
CORSO DI CERTIFICAZIONE OMADA OCNA LITE - Cagliari
Ott 02
Computer Gross - AI & XSP SUMMIT
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
