Gli attaccanti stanno utilizzando come vettore d’infezione una vulnerabilità nota dal 2021
L’allarme lanciato dall’Agenzia per la cybersicurezza nazionale su un attacco hacker globale condotto tramite ransomware conferma che l’attenzione alla sicurezza per molte aziende italiane è ancora troppo bassa. L’attacco rilevato dal Computer security incident response team (Csirt) italiano si basa su una vulnerabilità nota, già corretta in passato dal produttore, ma che non tutte le aziende che utilizzano tali sistemi avevano risolto.
Eppure, secondo l’ultimo Security Leader Research report condotto in Italia da Vectra AI, il ransomware si conferma la principale preoccupazione per i responsabili della sicurezza: il 60% degli intervistati teme che un attacco simile vada a segno sottraendo dati alla propria organizzazione e il 40% ammette di non riuscire a rilevare le moderne minacce informatiche.
Le informazioni attualmente a disposizione indicano, infatti, che gli attaccanti stanno utilizzando come vettore d’infezione una vulnerabilità nota dal 2021, per la quale sono disponibili pubblicamente dei PoC (proof of concept), esempi di codice che mostrano come sfruttare la vulnerabilità. Dalle prime analisi si evince inoltre una similarità tra il ransomware usato in questi attacchi e “Babuk”, un noto ransomware il cui codice è anch’esso disponibile pubblicamente e potrebbe essere stato utilizzato come base di partenza per lo sviluppo del malware. Queste condizioni comportano che anche attaccanti sprovvisti di elevate competenze tecniche possono lanciare azioni offensive di successo. La campagna in questione mette quindi in evidenza il livello di rischio a cui vengono esposte le macchine raggiungibili tramite internet e non protette adeguatamente.
“Il numero dei server compromessi a livello globale al momento è di circa 2000, di cui 19 in Italia. Per tenere traccia dei servizi ESXi compromessi e dell’indirizzo Bitcoin a cui il riscatto dovrebbe essere inviato è stato rilasciato anche uno script da parte del fondatore della piattaforma Shodan raggiungibile ad un indirizzo web diffuso. Questi dati denotano che non vi è in corso un attacco verso l’Italia ma c’è l’ordinario tentativo di sfruttare vulnerabilità conosciute e non aggiornate da parte degli amministratori di rete” ha spiegato Pietro Di Maria, CTI Expert e advisor internazionale di cybersecurity.
E’ stato reso noto che la vulnerabilità consente ai criminali informatici di portare all’esecuzione di codice in modalità remota (RCE) sui sistemi interessati e il vettore di attacco utilizzato per questa campagna potrebbe essere una nuova tipologia di ransomware denominato ESXiArgs, “ransomware” che sfrutta per la maggior parte i comandi di sistema già disponibili di default nelle installazioni vittime, pertanto si stima che non ci sia voluto più di un’ora per realizzarlo.
“Dalle analisi effettuate questa tipologia di malware riuscirebbe a cifrare dati di piccola portata, .vmdk .vmx, e non file system e ciò non comporta un rischio inferiore per l’integrità delle infrastrutture mondiali”, continua Di Maria “Per evitare di incappare nell’infezione con questo tipo di malware è sufficiente aggiornare i sistemi VMware ESXi, mentre qualora i sistemi risultassero infettati bisognerà eseguire una pratica di ripristino per rendere nuovamente disponibili i file compromessi, creando un fallback usando flat.vmdk”.
Già nei mesi scorsi, il direttore generale dell’Agenzia per la cybersicurezza nazionale, Roberto Baldoni, aveva esortato le imprese italiane a giocare d’anticipo e attrezzarsi puntando su nuove tecnologie di analisi degli incidenti e su strumenti di prevenzione basati sull’intelligenza artificiale. Con l’evoluzione del panorama delle minacce, le difese tradizionali sono infatti sempre più inefficaci e le organizzazioni hanno bisogno di strumenti moderni che illuminino i punti ciechi.
“Considerate le attuali strategie messe in atto dai criminali informatici, è importante dotarsi di soluzioni che offrano un monitoraggio completo di tutte le reti e mantenere piena visibilità sui propri ambienti in modo da essere a conoscenza di qualsiasi attacco senza dover aspettare le relative patch. I team di sicurezza hanno bisogno di individuare i segnali di un attacco prima che diventi una violazione e di integrare funzionalità avanzate di rilevamento e risposta per mitigare le minacce che stanno già aggirando i controlli esistenti” ha spiegato Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI.
Dotando gli analisti di soluzioni di intelligenza artificiale, le organizzazioni possono dare priorità alle minacce altrimenti sconosciute e urgenti che rappresentano il rischio maggiore per il business. Ciò migliora la produttività degli analisti e li mette in grado di ridurre il rischio e mantenere le organizzazioni al sicuro.