Ancora in corso un attacco informatico di grandi dimensioni in Italia e nel mondo. Al momento, oltre 3.200 server VMware sono stati compromessi sfruttando il mancato aggiornamento dei sistemi ESXi con le patch di sicurezza raccomandate direttamente dal vendor.
La campagna, stando alle prime analisi, è stata messa in atto sfruttando come vettore di ingresso ai sistemi una vulnerabilità dei sistemi di virtualizzazione VMWare (il cui sistema hypervisor è appunto l’ESXi) che in alcune release presenta la possibilità di eseguire una command injection. Tale vulnerabilità era tra l’altro stata già resa nota nel 2021 e classificata con il codice CVE-2021-21974.
La command injection ha permesso dunque agli attaccanti di poter inserire codice malevolo, tra i quali anche quello che è il più evidente, appunto il ransomware. Non dimentichiamo che avendo appunto a disposizione la possibilità di operare e inviare comandi da remoto, non è escluso che una volta sfruttata la vulnerabilità, i cyber criminali possano aver effettuato anche ulteriori azioni malevole, come ad esempio l’installazione di backdoors e/o keylogger per un eventuale uso futuro.
VMware ricordiamo essere la principale azienda protagonista nel settore della virtualizzazione, cioè la metodologia di condivisione di risorse computazionali sulla quale si basa ormai la maggior parte dei sistemi digitali connessi in rete.
La Francia è stata il primo paese a subire l'attacco a causa di un alto numero di infezioni registrate nei sistemi di alcuni provider. In seguito, l'ondata di attacchi si è estesa ad altri paesi come Italia, Finlandia, Canada e Stati Uniti. Attualmente, ci sono migliaia di server compromessi in tutto il mondo e decine di aziende in Italia hanno riscontrato attività maligne nei loro sistemi, con conseguente perdita di produttività e danno economico.
I danni, nonostante il produttore avesse fornito soluzioni e aggiornamenti già nel febbraio 2021, sono significativi a causa del numero di macchine non protette in quanto non tutti gli utenti hanno implementato tali remediation.
Non è ancora chiaro chi siano i responsabili della campagna d’attacco, ma c’è da aspettarsi una lunga lista di richieste di riscatto ai danni degli attaccati con la promessa di restituire l’accesso ai file criptati.
Ricordiamo che è bene non pagare per non incentivare azioni criminali del genere.
Le azioni da intraprendere
Come capire se si è vulnerabili a questo attacco?
- Prima di tutto controllare se il software posseduto è tra le seguenti versioni impattate:
- VMware ESXi 6.5, 6.7, 7.0,
- VMware Cloud Foundation (ESXi) 3.x, 4.x., - VMware vCenter Server (vCenter Server)
In caso positivo, applicare immediatamente le patch di aggiornamento come definito dal bollettino di sicurezza del fornitore, come da sito ufficiale VMSA-2021- 0002 (vmware.com).
- Successivamente se risulta impossibile accedere alle macchine virtualizzate, recuperare i backup dei file con estensioni .vmxf, .vmx, .vmdk, .vmsd e .nvram, ovvero quelli direttamente coinvolti dal criptaggio, e sostituirli.
- Far seguire una profonda scansione per eventuali elementi malevoli che sono stati veicolati dal ransomware all’interno della propria infrastruttura(attenzione a sistemi di backdoor e persistenza che potrebbero consentire l’ingresso futuro ad altro software malevolo)
Questo dovrebbe essere il primo intervento necessario al fine di bloccare l’eventuale vulnerabilità (da cui ricordiamo il malware in questione riesce a ottenere una RCE, remote code execution) per poi ritornare operativi.
Risulta comunque buona norma affidarsi a specialisti del settore, capaci di gestire e prevenire questa tipologia di danni a garanzia della continuità operativa del proprio business.
È altresì consigliata l’adozione di soluzioni per:
- monitoraggio costante di software, apparati hardware, le relative versioni e soprattutto le vulnerabilità (Vulnerability Management),
- protezione di endpoint critici (soluzioni XDR),
- soluzioni di Backup Disaster Recovery e Dataloss prevention, fondamentali per il ripristino repentino delle funzionalità.
La Sezione ICT dell’Unione Industriali Napoli – Confindustria Napoli (Dott. Francesco Lo Sapio – losapio@unindustria.na.it, tel. 081/5836.274 – 338.5309640) è a disposizione delle aziende associate per un primo supporto e per la individuazione delle azioni da intraprendere.
