Aggiornamenti recenti Marzo 23rd, 2023 5:14 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La spesa per la sicurezza IT in Europa crescerà del 10%
- Un nuovo Fraud Prevention Center per Poste Italiane
- Kaspersky svela un Apt attivo nell’area del conflitto russo-ucraino
- Google scopre 18 vulnerabilità nei chipset mobile Samsung Exynos
- Kaspersky aggiorna il decryptor per il ransomware Conti
ESXiArgs: cos’è, come funziona e chi ha colpito
Questa mattina abbiamo dato conto del grande clamore suscitato dalla campagna ransomware denominata ESXiArgs, che ha coinvolto diverse migliaia di sistemi in tutto il mondo e ha messo in allarme anche il nostro Governo.
Con il passare delle ore sono emersi ulteriori dettagli sulla portata dell’attacco e sul suo funzionamento. Quando un server viene violato, alcuni file vengono aggiunti alla cartella /tmp, tra cui una chiave Rsa pubblica, un file binario del cifratore (un eseguibile Elf) e uno script di shell che svolge alcune operazioni preliminari prima di avviare la cifratura delle informazioni.
Lo script interrompe l’esecuzione di tutte le macchine virtuali del sistema, dopodiché effettua una ricerca per le estensioni associate alle unità disco virtuali della piattaforma VMware e infine esegue la cifratura.
La porzione di script che cifra i file (Fonte: BleepingComputer)
Inoltre, alla cartella vengono anche aggiunti i file contenenti la richiesta di risarcimento che è apparsa in varie forme su tutti i siti di informazione. Il ricercatore di sicurezza Michael Gillespie ha analizzato il cifratore e l’ha ritenuto privo di falle; non si può quindi sperare di sfruttare qualche bug per decifrare le informazioni prese in ostaggio.
Alcune caratteristiche del malware, come per esempio l’uso dell’algoritmo Sosemanuk, non sono molto comuni e lasciano supporre che ESXiArgs sia probabilmente basato sul codice sorgente del ransomware Babuk, che era stato reso pubblico nel 2021 ed è stato utilizzato in passato in altre campagne ransomware ESXi.
Rispetto al passato ci sono però anche diversi tratti di originalità, come la scelta della crittografia Rsa, che lasciano aperta la porta a diverse interpretazioni sulla discendenza diretta da Babuk.
Le vittime
Come abbiamo già accennato, i sistemi colpiti dalla campagna sono state diverse migliaia; il conteggio di Censys indicava oltre 3.200 server compromessi soltanto questa mattina (6 febbraio), ma il numero sta progressivamente scendendo man mano che i tecnici procedono nell’opera di ripristino.
Dopo la riunione coordinata dal Sottosegretario con la delega alla Cybersecurity Alfredo Mantovano, con i vertici della ACN-Agenzia per la Cybersicurezza Nazionale e del Dipartimento delle informazioni per la sicurezza, Palazzo Chigi ha emesso una nota che delinea con più chiarezza i contorni del problema, confermando in sostanza le informazioni già trapelate nelle ultime ore.
La nota infatti riporta che “in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita. Nel corso delle prime attività ricognitive compiute da ACN-Agenzia per la Cybersicurezza Nazionale, unitamente alla Polizia Postale, non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un riscatto”.
Fonte: @mRr3b00t su Twitter
Sono anche state divulgate, per esempio da mRr3b00t su Twitter, alcune interessanti mappe che dettagliano la distribuzione geografica dei sistemi interessati dall’attacco, sia a livello globale sia concentrando l’attenzione sul territorio europeo.
Fonte: @mRr3b00t su Twitter
Segnaliamo infine la pubblicazione di una guida molto dettagliata al ripristino dei sistemi colpiti, realizzata da Enes Sonmez e Ahmet Aykac del YoreGroup Tech Team, che offre molte informazioni preziose sui passi da compiere per mettere in sicurezza i server interessati dall’attacco.
Condividi l'articolo
Crowdsourcing per la cybersecurity: più protezione e costi aziendali ridotti
File OneNote per distribuire malware: individuate decine di campagne attive
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I rischi del lavoro remoto preoccupano le aziende L’affermazione del lavoro ibrido e remoto ha... -
Gli attacchi BEC sono sempre più veloci Il team Security Intelligence di Microsoft ha recentemente... -
Le minacce più diffuse in EMEA secondo Akamai Akamai ha pubblicato un nuovo report della serie State of... -
NIS2: le imprese europee devono adattarsi a nuovi requisiti... Nuove regolamentazioni all’orizzonte: dopo il GDPR,... -
Ogni riscatto ransomware pagato finanzia altri 9 attacchi Trend Micro ha diffuso i risultati della nuova ricerca What...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
La spesa per la sicurezza IT in Europa crescerà del 10% IDC ha pubblicato la nuova edizione della Worldwide... -
Un nuovo Fraud Prevention Center per Poste Italiane Poste Italiane ha inaugurato un nuovo Fraud Prevention... -
Google scopre 18 vulnerabilità nei chipset mobile Samsung... I ricercatori di sicurezza di Google hanno individuato e... -
Kaspersky aggiorna il decryptor per il ransomware Conti Kaspersky ha pubblicato un aggiornamento per il decryptor... -
Il ransomware mette nel mirino le infrastrutture critiche L’FBI americano ha pubblicato il nuovo Internet Crime...
Ransomware: la serie
No posts found.
