Tab Magazine

Tecnologie per assicurazioni e banche

Attacco ransomware: ecco cosa ne dicono le aziende di sicurezza informatica

8 Febbraio 2023

I commenti a caldo di Sababa, Vectra Ai, Kaspersky, Trend Micro, Akamai e Exprivia

E’ ancora provvisorio il bilancio dell’attacco ransomware dello scorso fine settimana. Foto di Sora Shimazaki da Pexels

 

Dopo l’attacco hacker dello scorso fine settimana, nel mondo si contano i danni. E si moltiplicano le domande. Quante sono le organizzazioni, sia pubbliche, sia private, a essere state colpite? Quante hanno preferito evitare di rivelarlo? Come hanno fatto criminali dilettanti (pare che ciò sia appurato) a mettere sotto scacco la sicurezza informatica mondiale? E ancora: quanti hanno ceduto al ricatto, pagando le somme richieste?

Non tutti i quesiti riceveranno risposta – soprattutto gli ultimi due. Anche se una stima provvisoria è già disponibile. Secondo Ransomwhere, piattaforma specializzata nel monitoraggio delle estorsioni on line e dei successivi pagamenti di riscatti, finora la refurtiva sarebbe molto magra. E non supererebbe gli 88mila dollari. Ma il bilancio è naturalmente provvisorio e incerto.

In ogni caso, è già possibile tracciare un quadro della situazione. Lo hanno fatto alcune società specializzate in sicurezza informatica. Che seguono un fil rouge: la minaccia era già nota dal 2021, ma non tutti hanno installato le patch che erano state fornite. E questo è il risultato.

Ecco, dunque, i commenti delle aziende.

 

Sababa Security

Andrea Saturnino
Andrea Saturnino

 

“Gli attacchi”, apre le danze Andrea Saturnino, Ict security specialist di Sababa Security, “sono avvenuti sfruttando una vulnerabilità critica delle versioni 7.x e precedenti di VMWare ESXi. Un prodotto di virtualizzazione, tra i più utilizzati al mondo, che serve in ambito business per creare computer virtuali. Su questi, successivamente, vengono eseguite altre soluzioni, come applicativi o database”.

La vulnerabilità, spiega Saturnino, era già stata corretta nel 2021. Risale a quell’anno, infatti, la patch di sicurezza fornita per risolvere il problema. “Tuttavia i risultati dell’attacco dimostrano che quest’ultima non è stata applicata su un grande numero di server VMWare ESXi. Oltre a ciò, i sistemi colpiti erano esposti su internet: era quindi possibile accedervi dall’esterno della rete informatica con estrema facilità, andando contro ogni best practice di sicurezza informatica. Di conseguenza, la combinazione di vulnerabilità critica ed esposizione on line ha reso possibile la realizzazione di una massiccia campagna di attacco ransomware ai danni di numerose infrastrutture”.
Come ormai noto, anche se questo malware è stato comunicato all’opinione pubblica solo tra il 5 e il 6 febbraio, “tra gli analisti che seguono le attività di questi gruppi era già noto da almeno una settimana, quando si iniziavano a notare i primi attacchi sospetti. Secondo un report di OvhCloud, tra le prime aziende ad aver subito l’attacco, il malware utilizzato in questo attacco è collegato a Nevada ransomware. Quest’ultimo era stato notato per la prima volta il 10 dicembre 2022, data in cui è stato sponsorizzato con un post su Ramp, un forum nel dark web in cui i cybercriminali sono soliti comunicare o promuovere le proprie operazioni. All’interno del post gli autori invitavano i cybercriminali di lingua russa o cinese a effettuare degli attacchi utilizzando il Nevada ransomware, in cambio dell’85% della somma pagata per i riscatti. Per quanto sembri plausibile che un attacco di questa portata, che attualmente conta circa 3.000 server ESXi colpiti (fonte Censys), sia stato reso possibile dalla collaborazione di un massiccio numero di cybercriminali, rimangono ancora alcuni punti da chiarire”.
Prima di tutto, “è possibile notare come all’interno delle note di riscatto non siano presenti riferimenti a Nevada ransomware o link che rimandano a un sito web del gruppo, ma solo un id di Tox, sistema di messaggistica peer to peer. Inoltre, il malware utilizzato per la campagna massiva sembra utilizzare l’algoritmo di cifratura Sosemanuk, probabilmente basato sul codice sorgente di Babuk, mentre Nevada utilizza l’algoritmo di cifratura Salsa20“.
In conclusione, dice Saturnino, “sembra molto probabile che il gruppo dietro all’attacco sia un nuovo threat actor e non il già citato Nevada ransomware, per quanto su queste tematiche sia quasi impossibile fornire una risposta certa. Per mitigare il rischio di subire questo attacco, l’Agenzia per la cybersicurezza nazionale ha invitato tutte le aziende utilizzatrici di VMWare ESXi ad applicare le dovute patch di sicurezza e a verificare l’esposizione dei server, invitando le aziende a verificare la cyber hygien delle proprie infrastrutture”.

Prosegue a pagina 2

Show Buttons
Hide Buttons