Attacco hacker: come è stato effettuato e come difendersi
L’azione ha sfruttato vulnerabilità note da due anni: necessario per le aziende adottare le soluzioni patch già pronte. Scarso l’impatto in Italia
di Giancarlo Calzetta
2' di lettura
Venerdì pomeriggio è stato lanciato un grande attacco ransomware coordinato che ha colpito oltre mille aziende a livello globale. Le imprese coinvolte sono per lo più europee, ma non sono mancate quelle statunitensi e asiatiche, mentre mancano riscontri in Russia, Africa, Iran e altri stati più piccoli.
L'attacco ha sfruttato una vulnerabilità già nota da un paio di anni in un software chiamato ESXi, prodotto da VMware, che serve a creare e gestire macchine virtuali su server dedicati. La vulnerabilità era già stata risolta, ma molte aziende non hanno provveduto a installare l'aggiornamento e sono rimaste esposte agli attacchi che hanno spesso comportato l'installazione del ransomware ESXiArg, una software malevolo che rende illeggibili tutti i dati a cui riesce ad accedere codificandoli con una chiave segreta.
I criminali chiedono un riscatto di due bitcoin per fornire la chiave di decodifica che al momento rappresenta l'unico modo per riavere accesso ai dati, se le aziende non hanno previsto un backup.
Le versioni vulnerabili e correntemente sotto attacco sembrano essere quelle precedenti la 7.0 U3i e la raccomandazione degli esperti è quella di aggiornare immediatamente il software vulnerabile utilizzando l'aggiornamento già disponibile.
«La sicurezza dei nostri clienti – dice Raffaele Gigantino, country manager di VMware Italia - è una priorità assoluta per VMware. Da subito ci siamo attivati direttamente con le autorità preposte, i nostri clienti e i nostri partner. La security hygiene è una componente fondamentale per prevenire gli attacchi ransomware e i clienti che utilizzano versioni di ESXi affette da CVE-2021-21974 e non hanno ancora applicato la patch devono agire come indicato nell’avviso.
Ulteriori indicazioni per l’hardening di ESXi sono disponibili nella Security Configuration Guide di VMware. Molte delle versioni del ransomware ESXiArg analizzate finora non sembrano essere in grado di rubare dati, e quindi non dovrebbero esser previsti ulteriori tentativi di estorsione tramite la minaccia di rendere pubblici dati sensibili, ma in qualche caso la richiesta di riscatto inviata dai criminali fa un riferimento diretto alla minaccia di pubblicazione, non è chiaro quanto fondata.
L'Italia è stata colpita in maniera marginale, con una stima massima che si assesta attorno ai 15 casi su circa 600 server potenzialmente attaccabili, mentre il Paese più colpito sembra essere la Francia con almeno 500 compromissioni, secondo delle indagini condotte da hacker indipendenti.
Chi non può aggiornare correttamente il server ESXi per motivi contingenti, dovrebbe almeno implementare delle regole per permettere l'uso del servizio OpenSLP sulla porta 427 esclusivamente a dispositivi fidati, per poi procedere a una soluzione definitiva basata sull'aggiornamento del sistema.
loading...