Il ransomware noto come ESXiArgs è recentemente balzato agli onori della cronaca in tutto il mondo, causando enormi disagi ad aziende e privati.
Si tratta di un malware scoperto all’inizio del 2020 che continua a creare scompiglio nei sistemi informatici di tutto il mondo.
Questo ransomware è particolarmente pericoloso perché è sofisticato e difficile da rilevare, il che lo rende estremamente efficace per infiltrarsi e criptare i dati delle vittime. Il ransomware ESXiArgs è uno dei ransomware più sofisticati ad oggi ed è stato utilizzato dai criminali informatici in un recente maxi attacco informatico su scala globale. In questo articolo si analizzeremo la minaccia ransomware in modo più dettagliato, che cosa è accaduto la mattina del 4 febbraio e come devono muoversi oggi le aziende all’interno del panorama delle cyberthreat.

- Introduzione al ransomware ESXiArgs
- Cosa è successo la mattina del 4 febbraio grazie a ESXiArgs?
- Analisi tecnica del ransomware ESXiArgs
- Obiettivi della minaccia ESXiArgs
- Mitigare l’attacco ransomware ESXiArgs con strategie e strumenti di sicurezza
4 febbraio, che cosa è accaduto ai server VMware ESXi grazie a ESXiArgs
La mattina del 4 febbraio, i server VMware ESXi con versioni precedenti alla 7.0 sono stati presi di mira da un attacco ransomware. Questo ransomware è riuscito a infiltrarsi e a criptare i dati delle vittime sfruttando una vulnerabilità nota da almeno tre anni, rendendoli inaccessibili fino al pagamento di un riscatto. Questo attacco ransomware è stato così devastante da causare disagi globali a migliaia di aziende (tra cui OVH) e privati in tutto il mondo, con la conseguente messa offline di diversi server. Si ritiene che il ransomware abbia avuto origine dal gruppo di hacker russi Evil Corp, noti per le loro campagne di ransomware.
L’Italia è nel mirino dell’attacco ESXiArgs ransomware così come molte altre nazioni e organizzazioni.
Si ritiene che l’attacco ransomware sia stato scatenato da una falla di sicurezza nei server VMware ESXi che consentiva di ransomware per introdursi e criptare i dati delle vittime: CVE-2021–21974 in VMware ESXi. Il ransomware oggetto di questa campagna prende di mira i volumi delle macchine virtuali all’interno di /vmfs/volumesdirectory: il virus crittografa i dischi virtuali e file di memoria. Gli effetti dell’attacco sono stati devastanti: decine di server e siti web sia italiani che nel mondo risultano inaccessibili. Tra i soggetti più colpiti dall’attacco ritroviamo molte agenzie di pubblica amministrazione, banche, centri medici e ospedali.
Analisi tecnica del ransomware ESXiArgs
Il ransomware ESXiArgs è una minaccia altamente mirata e sofisticata. Nata con l’intento di sfruttare vulnerabilità specifiche nei server VMware ESXi. Il ransomware ha utilizzato un exploit noto come CVE-2021-21974 per ottenere l’accesso al sistema e quindi crittografare i dati con un algoritmo di crittografia RSA 2048. Questo ransomware è collegato ad altri attacchi ransomware dello stesso gruppo, il che indica che probabilmente la minaccia fa parte di una campagna ransomware ben più ampia.
Inoltre, i ricercatori hanno scoperto che il ransomware utilizza tecniche di persistenza come le attività pianificate e le chiavi di registro per garantire che rimanga sul sistema anche dopo il riavvio o la riaccensione. Il ransomware contiene anche codice progettato specificamente per colpire le macchine server ESXi vulnerabili, una tecnologia a cui molte organizzazioni ricorrono per virtualizzare infrastrutture informatiche specifiche. Tra le vulnerabilità sfruttate dalla cybergang per proseguire nel processo di attacco ritroviamo anche:
- CVE-2022-31696
- CVE-2022-31697
- CVE-2022-31698
- CVE-2022-31699.
In particolare, si tratta di falle di sicurezza in grado di essere sfruttate per portare un attacco di code injection in modalità remota (ovvero RCE). Alla fine del primo giorno di attacchi, sono stati crittografati circa 120 server ESXi, anche se con il passare dei giorni il numero di vittime e device infetti è cresciuto a dismisura.
Il ransomware cripta i file con estensione .vmxf, .vmx, .vmdk, .vmsd e .nvram sui server ESXi compromessi e crea nuovi file con estensione .args per ogni . La nota di riscatto del cryptovirus ESXiArgs viene visualizzata come file html con i seguenti nomi: HowToRestoreYourFiles.html o ransom.html e riporta il seguente testo:
How to Restore Your Files
We hacked your company successfully
All files have been stolen and encrypted by us.
If you want to restore files or avoid file leaks, please send 2.0781 bitcoins to the wallet…
If money is received, encryption key will be available on…
Attention!!!
Send money within 3 days, otherwise we will expose some data and raise the price
Don’t try to decrypt important files, it may damage your files
Don’t trust who can decrypt, they are liars, no one can decrypt without key file
If you don’t send bitcoins, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
Note
SSH is turned on
Firewall is disabled
Al momento pare che il sistema con il quale il ransomware cripta i file della vittima è inespugnabile, non sembrano esserci errori nel sistema di crittografia.
Quali tecnologie sono interessate dall’attacco ESXiArgs ransomware
L’attacco ransomware ESXiArgs colpisce tutte le versioni dei server ESXi di VMware precedenti all’aggiornamento v.7. Questi includono tecnologie di virtualizzazione come vMotion e Dynamic Resource Scheduler (DRS). Inoltre, il ransomware potrebbe essere in grado di compromettere i file di sistema in altri ambienti virtualizzati come Hyper-V e Nutanix.
L’attacco può colpire anche dispositivi di rete come router e switch, gestiti dal server VMware ESXi. Se questi dispositivi sono compromessi, potrebbero causare un’interruzione del servizio Internet o una perdita di dati.
Obiettivi della minaccia ESXiArgs
L’attacco ransomware è stato indirizzato principalmente alle organizzazioni che ricorrono a server VMware ESXi con versioni precedenti alla 7.0 non patchate. Tra i soggetti più colpiti dal ransomware figurano agenzie governative, banche, centri medici e ospedali. La campagna ransomware ha preso di mira soprattutto i territori europei: in particolare, l’Italia e il Regno Unito sono stati i primi Paesi ad essere colpiti. Inoltre, è noto che la cybergang ransomware ha preso di mira altre grandi nazioni come la Germania e la Francia con le campagne di ransomware ESXiArgs.
Oltre agli enti governativi, anche diverse istituzioni finanziarie sono state prese di mira dall’attacco ransomware, con conseguenti perdite e interruzioni significative. Inoltre, sono state colpite anche alcune aziende più piccole. L’attacco ransomware sembra concentrarsi principalmente sulle organizzazioni con grandi database di informazioni riservate, il che implica che le bande di ransomware stanno prendendo di mira le istituzioni finanziarie e le agenzie governative per ottenere l’accesso ai dati. Solo in Italia, sembra che siano esposti al problema oltre un migliaio di server VMware ESXi.
Quel che ormai risulta chiaro a distanza di una settimana dall’attacco è che il ransomware ESXiArgs è una minaccia che si poteva in molti casi evitare.
Ancor di più dal momento che la stessa casa VMware ha confermato che il cryptovirus sfruttava la presenza di vecchie vulnerabilità informatiche e non zero-day. Molti dei server colpiti, infatti, non erano in grado di eseguire gli aggiornamenti automatici dei server ESXi e disabilitare il servizio Open SLP in quando erano disabilitati dal sistema sin dall’inizio del 2021.
A conclusione dell’ondata di attacco ransomware ESXiArgs, la cybergang si stima abbia raccolto oltre 80.000 dollari derivanti dal pagamento dei riscatti delle vittime; il dato risulta ad oggi incompleto.
Si poteva evitare il disastro causato da ransomware ESXiArgs?
La riflessione ruota attorno alla percezione di quanto sia importante per le aziende implementare un sistema di controllo delle vulnerabilità informatiche e eseguire periodicamente attività di patch managemenet in azienda. La tecnologia colpita da ESXiArgs ransomware coinvolge una delle tecnologie maggiormente utilizzata per la virtualizzazione delle infrastrutture informatiche. Il fatto che questa tecnologia non sia stata oggetto di costanti monitoriaggi e aggiornamenti da parte dei soggetti competenti evidenzia il primo grosso problema. Inoltre pensiamo che l’attacco ransomware sfruttava una vulnerabilità nota da diverso tempo (almeno due anni).
Ecco perché oggi la posta in gioco è alta: le tecnologie informatiche oggi meritano attenzione sul fronte cybersecurity al pari di qualsiasi altro componente. La migliore soluzione per ridurre la presenza di vulnerabilità gravi è quello di effettuare aggiornamenti regolari e restare vigili dal momento che una tecnologia viene esposta su internet.
Mitigare l’attacco ransomware ESXiArgs con strategie e strumenti di sicurezza
Per mitigare l’attacco ransomware, le organizzazioni dovrebbero adottare strategie di sicurezza come mantenere i sistemi aggiornati, utilizzare password sicure e l’autenticazione a due fattori.
Onorato Informatica consiglia di eseguire una scansione di sicurezza dei sistemi lasciati senza patch per verificare la presenza di potenziali punti di accesso scoperti.
Inoltre, le aziende dovrebbero considerare l’utilizzo di una piattaforma di rilevamento e risposta degli endpoint in grado di rilevare gli attacchi ransomware nelle loro fasi iniziali.
Nello specifico per attacco di ESXiArgs ransomware è necessario assicurarsi che tutti i server VMware ESXi siano aggiornati con le ultime patch di sicurezza e disabilitare il servizio Open SLP. Ai tecnici informatici delle aziende consigliamo di perseguire la strada del patching in-memory e la configurazione del firewall per evitare che il ransomware si introduca nei sistemi.
Al fine di tutelare un organizzazione dagli attacchi informatici RCE è importante implementare buoni servizi di protezione della rete.
Inoltre, le organizzazioni devono assicurarsi che i backup siano archiviati in modo sicuro fuori sede e testati regolarmente per garantire il recupero tempestivo dei dati nel caso in cui il ransomware si infiltri nei loro sistemi. Con queste strategie di sicurezza, le organizzazioni possono proteggere i loro dati e sistemi critici da attacchi ransomware come ESXiArgs.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.