Andrea Saturnino, ICT Security Specialist di Sababa Security
, ha commentato i numerosi attacchi ransomware contro diverse aziende, sia italiane che estere, sfruttando una vulnerabilità critica dei server VMWare ESXi. “Dalla sera del 5 febbraio ha iniziato a diffondersi la notizia di una serie di attacchi informatici di tipo ransomware contro diverse aziende, sia italiane che estere. Gli attacchi sono avvenuti sfruttando una vulnerabilità critica delle versioni 7.x e precedenti di VMWare ESXi, una soluzione di virtualizzazione, tra le più utilizzate al mondo, che serve, semplificando, in ambito business, per creare computer virtuali su cui, successivamente, vengono eseguite altre soluzioni, come ad esempio applicativi o database.
La vulnerabilità era già stata corretta nel 2021, quando era stata fornita una patch di sicurezza per correggerla, tuttavia i risultati dell’attacco dimostrano che quest’ultima non sia stata applicata su un grande numero di server VMWare ESXi.
Oltre a ciò, i sistemi colpiti erano esposti su internet ed era quindi possibile accedervi dall’esterno della rete informatica con estrema facilità, andando contro ogni best practice di sicurezza informatica. Di conseguenza, la combinazione di vulnerabilità critica ed esposizione online ha reso possibile la realizzazione di una massiccia campagna di attacco ransomware ai danni di numerose infrastrutture.
Benché questo ransomware sia stato reso noto all’opinione pubblica italiana solo tra il 5 e il 6 Febbraio, tra gli analisti che seguono le attività di questi gruppi era già noto da almeno una settimana, quando si iniziavano a notare i primi attacchi sospetti. Secondo un report di OVHCloud, uno dei principali operatori cloud europei e tra le prime aziende ad aver subito l’attacco, il malware ransomware utilizzato in questo attacco è collegato a Nevada ransomware.
Quest’ultimo, è stato notato per la prima volta il 10 dicembre 2022, data in cui è stato sponsorizzato con un post su RAMP, un forum nel dark web in cui i cybercriminali sono soliti comunicare o promuovere le proprie operazioni.
All’interno del post gli autori invitavano i cybercriminali di lingua russa o cinese ad effettuare degli attacchi utilizzando il Nevada ransomware, in cambio dell’85% della somma pagata per i riscatti.
Per quanto sembri plausibile che un attacco di questa portata, che attualmente conta circa 3000 server ESXi colpiti (NB Fonte Censys), sia stato reso possibile dalla collaborazione di un massiccio numero di cybercriminali, rimangono ancora alcuni punti da chiarire.
Prima di tutto è possibile notare come all’interno delle note di riscatto non siano presenti riferimenti a Nevada ransomware o link rimandanti ad un sito web del gruppo, ma solo un id di TOX, sistema di messaggistica peer-to-peer.
Inoltre, il malware utilizzato per la campagna massiva sembra utilizzare l’algoritmo di cifratura Sosemanuk, probabilmente basato sul codice sorgente di Babuk, mentre Nevada utilizza l’algoritmo di cifratura Salsa20.
In conclusione, in base alle evidenze indicate in precedenza, sembra molto probabile che il gruppo dietro all’attacco sia un nuovo threat actor e non il già citato Nevada ransomware, per quanto su queste tematiche sia quasi impossibile fornire una risposta certa.
Per mitigare il rischio di subire questo attacco, l’agenzia per la cybersicurezza nazionale ha invitato tutte le aziende utilizzatrici di VMWare ESXi ad applicare le dovute patch di sicurezza e a verificare l’esposizione dei server, invitando le aziende a verificare la cyber hygien delle proprie infrastrutture.”