Ransomware REvil: encryptor bersaglia le macchine virtuali ESXi

La versione Linux di un rodato encryptor per Windows permette ai criminali del gruppo REvil di crittografare le macchine virtuali ESXi.

Autore: Redazione SecurityOpenLab

Con la trasformazione digitale le aziende stanno impiegando con sempre maggiore incidenza le macchine virtuali per i backup, per la gestione dei dispositivi e in generale per semplificare e ottimizzare l'efficientamento delle risorse. Questo cambio di rotta non è passato inosservato ai cyber criminali.

Dapprima gruppi ransomware hanno imitato le aziende sfruttando le macchine virtuali per bypassare i controlli di sicurezza. Poi hanno sfruttato le falle dell'hypervisor VMWare ESXi per crittografare i dischi delle macchine virtuali. L'ultimo passo evolutivo in termini di tempo è la realizzazione di un enryptor Linux espressamente progettato per crittografare le macchine virtuali VMware ESXi.

L'operazione è firmata dal gruppo ransomware REvil, alias Sodinokibi, uno dei più attivi in questo momento e con una buona disponibilità finanziaria che gli permette di sviluppare nuovi progetti. Ha creato una versione Linux dell'encryptor originale per Windows, che ha la peculiarità di funzionare sui server ESXi.

La nuova arma è stata scovata dai ricercatori di sicurezza del MalwareHunterTeam. Si tratta di un eseguibile ELF64 che include le stesse opzioni di configurazione utilizzate dal più comune eseguibile di Windows. Quando viene eseguito su un server, l'attaccante può specificare il percorso di crittografia e abilitare una modalità invisibile all'utente.

Se eseguito su un server ESXi, tramite lo strumento da riga di comando esxcli l'attaccante può elencare tutte le macchine virtuali ESXi in esecuzione e terminarle. Il comando viene utilizzato per chiudere i file del disco della macchina virtuale (VMDK) memorizzati nella cartella /vmfs/, in modo che il malware ransomware REvil possa crittografarli senza che vengano bloccati da ESXi.

Gli aspetti inquietanti sono almeno due. Il primo è che gli operatori di REvil possono crittografare molti server contemporaneamente con un singolo comando. Il secondo è che l'encryptor Linux non è un'esclusiva di REvil: secondo gli esperti dispongono di armi analoghe anche i gruppi quali RansomExx / Defray, Mespinoza, GoGoogle, DarkSide e Hellokitty.

È quindi chiara la direzione intrapresa dal cyber crime: i server virtuali sono sempre più popolari, quindi poterli attaccare è un requisito fondamentale per proseguire con le operazioni lucrose come gli attacchi ransomware. Prendendo di mira VMware ESXi c'è una elevata possibilità di poter colpire molte aziende.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.