Aggiornamenti recenti Maggio 21st, 2025 3:42 PM
Feb 06, 2023 Dario Orlandi Approfondimenti, Attacchi, Ransomware, RSS 0
Questa mattina abbiamo dato conto del grande clamore suscitato dalla campagna ransomware denominata ESXiArgs, che ha coinvolto diverse migliaia di sistemi in tutto il mondo e ha messo in allarme anche il nostro Governo.
Con il passare delle ore sono emersi ulteriori dettagli sulla portata dell’attacco e sul suo funzionamento. Quando un server viene violato, alcuni file vengono aggiunti alla cartella /tmp, tra cui una chiave Rsa pubblica, un file binario del cifratore (un eseguibile Elf) e uno script di shell che svolge alcune operazioni preliminari prima di avviare la cifratura delle informazioni.
Lo script interrompe l’esecuzione di tutte le macchine virtuali del sistema, dopodiché effettua una ricerca per le estensioni associate alle unità disco virtuali della piattaforma VMware e infine esegue la cifratura.
La porzione di script che cifra i file (Fonte: BleepingComputer)
Inoltre, alla cartella vengono anche aggiunti i file contenenti la richiesta di risarcimento che è apparsa in varie forme su tutti i siti di informazione. Il ricercatore di sicurezza Michael Gillespie ha analizzato il cifratore e l’ha ritenuto privo di falle; non si può quindi sperare di sfruttare qualche bug per decifrare le informazioni prese in ostaggio.
Alcune caratteristiche del malware, come per esempio l’uso dell’algoritmo Sosemanuk, non sono molto comuni e lasciano supporre che ESXiArgs sia probabilmente basato sul codice sorgente del ransomware Babuk, che era stato reso pubblico nel 2021 ed è stato utilizzato in passato in altre campagne ransomware ESXi.
Rispetto al passato ci sono però anche diversi tratti di originalità, come la scelta della crittografia Rsa, che lasciano aperta la porta a diverse interpretazioni sulla discendenza diretta da Babuk.
Come abbiamo già accennato, i sistemi colpiti dalla campagna sono state diverse migliaia; il conteggio di Censys indicava oltre 3.200 server compromessi soltanto questa mattina (6 febbraio), ma il numero sta progressivamente scendendo man mano che i tecnici procedono nell’opera di ripristino.
Dopo la riunione coordinata dal Sottosegretario con la delega alla Cybersecurity Alfredo Mantovano, con i vertici della ACN-Agenzia per la Cybersicurezza Nazionale e del Dipartimento delle informazioni per la sicurezza, Palazzo Chigi ha emesso una nota che delinea con più chiarezza i contorni del problema, confermando in sostanza le informazioni già trapelate nelle ultime ore.
La nota infatti riporta che “in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita. Nel corso delle prime attività ricognitive compiute da ACN-Agenzia per la Cybersicurezza Nazionale, unitamente alla Polizia Postale, non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un riscatto”.
Fonte: @mRr3b00t su Twitter
Sono anche state divulgate, per esempio da mRr3b00t su Twitter, alcune interessanti mappe che dettagliano la distribuzione geografica dei sistemi interessati dall’attacco, sia a livello globale sia concentrando l’attenzione sul territorio europeo.
Fonte: @mRr3b00t su Twitter
Segnaliamo infine la pubblicazione di una guida molto dettagliata al ripristino dei sistemi colpiti, realizzata da Enes Sonmez e Ahmet Aykac del YoreGroup Tech Team, che offre molte informazioni preziose sui passi da compiere per mettere in sicurezza i server interessati dall’attacco.
Mag 15, 2025 0
Mag 13, 2025 0
Mag 09, 2025 0
Mag 06, 2025 0
Mag 21, 2025 0
Mag 20, 2025 0
Mag 19, 2025 0
Mag 16, 2025 0
Mag 21, 2025 0
I ricercatori di Aqua, firma di cybersecurity statunitense,...Mag 20, 2025 0
Ieri ESET ha pubblicato l’ultimo APT report relativo...Mag 19, 2025 0
Dopo tre giorni di intenso hacking si è conclusa Pwn2Own,...Mag 15, 2025 0
Il numero di attacchi DDoS e delle attività dei gruppi...Mag 14, 2025 0
Sono sempre di più gli attacchi automatizzati che...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 21, 2025 0
I ricercatori di Aqua, firma di cybersecurity statunitense,...Mag 20, 2025 0
Ieri ESET ha pubblicato l’ultimo APT report relativo...Mag 19, 2025 0
Dopo tre giorni di intenso hacking si è conclusa...Mag 19, 2025 0
Nel corso della settimana, il CERT-AGID ha identificato e...Mag 16, 2025 0
Una nuova minaccia si abbatte sugli Stati Uniti: secondo...