Ransomware REvil: encryptor bersaglia le macchine virtuali ESXi

La versione Linux di un rodato encryptor per Windows permette ai criminali del gruppo REvil di crittografare le macchine virtuali ESXi.

Business Vulnerabilità
Con la trasformazione digitale le aziende stanno impiegando con sempre maggiore incidenza le macchine virtuali per i backup, per la gestione dei dispositivi e in generale per semplificare e ottimizzare l'efficientamento delle risorse. Questo cambio di rotta non è passato inosservato ai cyber criminali.

Dapprima gruppi ransomware hanno imitato le aziende sfruttando le macchine virtuali per bypassare i controlli di sicurezza. Poi hanno sfruttato le falle dell'hypervisor VMWare ESXi per crittografare i dischi delle macchine virtuali. L'ultimo passo evolutivo in termini di tempo è la realizzazione di un enryptor Linux espressamente progettato per crittografare le macchine virtuali VMware ESXi.

L'operazione è firmata dal gruppo ransomware REvil, alias Sodinokibi, uno dei più attivi in questo momento e con una buona disponibilità finanziaria che gli permette di sviluppare nuovi progetti. Ha creato una versione Linux dell'encryptor originale per Windows, che ha la peculiarità di funzionare sui server ESXi.

La nuova arma è stata scovata dai ricercatori di sicurezza del MalwareHunterTeam. Si tratta di un eseguibile ELF64 che include le stesse opzioni di configurazione utilizzate dal più comune eseguibile di Windows. Quando viene eseguito su un server, l'attaccante può specificare il percorso di crittografia e abilitare una modalità invisibile all'utente.

Se eseguito su un server ESXi, tramite lo strumento da riga di comando esxcli l'attaccante può elencare tutte le macchine virtuali ESXi in esecuzione e terminarle. Il comando viene utilizzato per chiudere i file del disco della macchina virtuale (VMDK) memorizzati nella cartella /vmfs/, in modo che il malware ransomware REvil possa crittografarli senza che vengano bloccati da ESXi.

cyber securityGli aspetti inquietanti sono almeno due. Il primo è che gli operatori di REvil possono crittografare molti server contemporaneamente con un singolo comando. Il secondo è che l'encryptor Linux non è un'esclusiva di REvil: secondo gli esperti dispongono di armi analoghe anche i gruppi quali RansomExx / Defray, Mespinoza, GoGoogle, DarkSide e Hellokitty.

È quindi chiara la direzione intrapresa dal cyber crime: i server virtuali sono sempre più popolari, quindi poterli attaccare è un requisito fondamentale per proseguire con le operazioni lucrose come gli attacchi ransomware. Prendendo di mira VMware ESXi c'è una elevata possibilità di poter colpire molte aziende.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori