Abbecedario informatico, buone prassi, risvegli e Cyber sicurezza

Immagine, arte e comunicazione, Tipografie, Stamperie,Grafici
  • Home    
  • Abbecedario informatico, buone prassi,...

Riceviamo dalla componente ICT dell’Area Immagine, Arte e Comunicazione un interessante articolo di rassegna stampa pubblicato martedì 7 Febbraio 2023 da Dario Fadda, Research Infosec e fondatore di Insicurezzadigitale.com, apparso su Cybersecurity360 perché ci consente di riflettere sulla spettacolarizzazione di quanto accaduto in questi giorni in merito ai diversi attacchi hacker che sono girati nelle reti informatiche.

Più che generare stupore e spettacolo, la componente ICT auspica invece che si lavori per aumentare le difese a questi attacchi, che ci sono, ci saranno anche in futuro e saranno sempre più frequenti.

 

 

Royal ransomware prende di mira i server VMware ESXi con la variante Linux: i dettagli

 

L’ANALISI TECNICA

Royal ransomware prende di mira i server VMware ESXi con la variante Linux:

La popolarità del software VMware e la sua incredibile diffusione con macchine virtuali esposte

su Internet senza gli opportuni aggiornamenti minimi di sicurezza stanno attirando l’attenzione

delle più note cyber gang. L’allerta è ora per la nuova variante di Royal Ransomware, mirata

proprio contro i sistemi Linux. Vediamo come funziona e come difendere la nostra

organizzazione

E’ stata rilevata una nuova variante di Royal Ransomware, la cyber gang identificata come uno

dei successori dell’operazione Conti, che sta prendendo di mira i server VMware ESXi.

Proprio in occasione dell’ultima popolare campagna malevola contro queste infrastrutture non

aggiornate e ancora oggi vulnerabili ed esposte su Internet, condotta con il ransomware

ESXiArgs, Royal Ransomware sembra dunque essere tra i primi gruppi criminali organizzati a

sfruttare la vasta superficie di attacco.

L’attacco contro i server VMware ESXi operato da Royal

L’esistenza del nuovo aggiornamento del malware utilizzato da Royal è stata rilevata da Will

Thomas dell’Equinix Threat Analysis Center (ETAC). Si tratta di una nuova variante della

versione Linux del ransomware adoperato da questa cyber gang.

Una volta operata la crittografia, questa variante aggiunge l’estensione “.royal_u” a tutti i file

interessati dal processo. È importante evidenziare che si tratta di una variante molto recente e

appena scoperta, per cui le difese automatiche potrebbero ancora non rilevarla: ad ogni modo,

da un controllo su VirusTotal, sono già 33 i vendors di sicurezza informatica che hanno

implementato questo riconoscimento nei propri sistemi di protezione.

Royal Ransomware, per quanto recente visto che è emersa nella scena cyber appena dopo la

chiusura delle operazioni di Conti, è comunque un gruppo criminale ben noto e particolarmente

attenzionato dagli esperti di tutto il mondo. Questo ci permette di conoscere il modus operandi

di questo gruppo che, lo ricordiamo, è motivato unicamente dall’arricchimento economico e il

pagamento del riscatto proposto alla vittima è l’unico obiettivo.

Questo aggiornamento fa inevitabilmente cambiare anche lo scenario che nell’ultimo fine

settimana ci si è presentato relativamente agli attacchi ransomware contro le infrastrutture

VMware. Infatti, finora, non c’erano prove di esfiltrazione di dati, né di doppia estorsione, quindi

con la conseguente pubblicazione di eventuale materiale sensibile rubato durante l’attacco.

L’interesse di Royal verso questi stessi target potrebbe cambiare questo scenario, arricchendo

il noto Data Leak Site di questa cyber gang con le vittime anche derivanti dagli attacchi verso

ESXi.

COME DIFENDERE LA NOSTRA ORGANIZZAZIONE

Vero è, infatti, che nonostante abbiano finito il loro ciclo di vita con il supporto degli

sviluppatori, sono decine di migliaia di server VMware ESXi esposti su Internet. Queste

macchine, quindi non riceveranno più aggiornamenti di sicurezza e questo li esporrà via via a

rischi di attacchi sempre maggiori.

Una superficie di attacco molto ampia è proprio quella che cyber gang come Royal stanno

iniziando a sfruttare grazie anche alla diffusione e alla popolarità di questo software di

virtualizzazione di VMware.

Il tema dell’esposizione su Internet di virtual machines, anche quando non strettamente

necessario, fa parte di quelle buone pratiche che stentano anche negli anni a decollare

definitivamente.

Questo, accompagnato alla scarsa manutenzione delle macchine, neppure con gli

aggiornamenti di sicurezza necessari del software che le governa, dopo anni (la vulnerabilità

più comunemente sfruttata risulta essere aggiornata a febbraio 2021), creano un mix perfetto

per l’attaccante che baserà la sua campagna unicamente in operazioni di ricerca online (anche

con strumenti OSINT) dei target esposti, per poi agire a colpo sicuro con il medesimo exploit.

Da qui l’importanza di una puntuale pratica di aggiornamento che, per quanto semplice e

banale, provoca inevitabilmente inutili rischi dall’impatto largamente dirompente per la

nostra organizzazione o ente pubblico.

 

 

Dario Fadda, Cybersecuty360

 

Categorie delle News

PROSSIMI EVENTI

marzo

Nessun evento

aprile

11apr18:3020:00Innovazione e Aggregazione: Il Viaggio di 11 Imprese verso un Ambiente di Lavoro Sostenibile

18apr14:3018:301° incontro "Percorso Pulitore Qualificato 2025"| La transizione ecologica nel settore delle pulizie professionali: da minaccia ad opportunità | Giovedì 18 aprile ore 14.30

22apr16:0018:00Sicurezza alimentare. Le nuove norme su controlli ufficiali e sulla qualità delle acque destinate al consumo umano

maggio

09mag14:3018:302°e 3° incontro "Percorso Pulitore Qualificato 2025 | "Gestione collaboratori - Come sceglierli e farli crescere raggiungendo insieme i risultati di business, in un contesto sempre più complesso” - 9 e 23 maggio ore 14.30

CONFARTIGIANATO IMPRESE BERGAMO p.iva 02351170168 - c.f. 80021250164 | Copyright ©
X