La tipologia di malware che, probabilmente, è stata utilizzata per attaccare i server VMware ESXi

La notizia è stata rilanciata, come apertura (per ore), da tutti i principali quotidiani online italiani. Poi, con il passare del tempo – partendo da una nota diffusa dalla ACN (Agenzia per la cybersicurezza nazionale) – moltissimi esperti hanno ridimensionato la portata e le “pericolosità” dell’evento informatico che ha catalizzato l’attenzione non solo del nostro Paese. Il bilancio attuale (che potrebbe aggiornarsi nelle prossime ore) parla di circa una ventina di server legati ad aziende (ma anche atenei) nostrani, vittima di questo attacco su larga scala legato a una vulnerabilità (già denunciata all’inizio del 2021 e corretta con una patch resa disponibile per tutti nel febbraio dello scorso anno) all’interno dei server VMware ESXi. Le ipotesi sul nome (e quindi la tipologia) del malware utilizzato per procedere alla richiesta di “riscatto” (da qui il nome “ransomware“) sono due: Nevada o ESXiArgs.

LEGGI ANCHE > Cosa significa che c’è stato un «attacco hacker globale»

Al netto della provenienza di questo attacco diffuso su scala globale (ma dagli effetti non strutturalmente preoccupanti), il portale BleepingComputer ha spiegato come il problema di sicurezza – tracciato come CVE-2021-21974 e già corretto il 23 febbraio del 2021 con un’apposita patch fornita dal vendor proprio in seguito a un precedente massiccio attacco mondiale – è stato utilizzato per sferrare un attacco ransomware ESXiArgs e non un “Nevada” (altra tipologia già utilizzata in passato). Come sono arrivati a questa conclusione?

Ransomware ESXiArgs, il malware che ha colpito i server

Per via dell’estensione del file che viene creato per rendere inutilizzabili i file e le cartelle sottratte attraverso questo attacco. Secondo le rilevazioni degli esperti, infatti, questa offensiva ransomware prende di mira i server VMware ESXi che non hanno corretto la vulnerabilità con la patch fornita nel febbraio del 2021 e crittografa tutti i file con le estensioni «.vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem» e li racchiude in un nuovo file, questa volta con l’estensione .args per crittografare il documento e procedere con l’archiviazione valida per la richiesta di riscatto (si parla, ma ancora non è chiaro, di una richiesta pari a 2 bitcoin, per un controvalore economico di poco più di 42mila euro).

🌐 A new #ransomware attack is spreading like crazy 🚨

Many VMware ESXi servers got encrypted in the last hours with this ransom note 🧐

What’s interesting is that the bitcoin wallet is different in every ransom note. No website for the group, only TOX id 👀 pic.twitter.com/mgyoLxbXvg

— DarkFeed (@ido_cohen2) February 3, 2023

Per quale motivo, all’inizio, si è parlato di un attacco ransomware Nevada? Per via della dinamica con offensive informatiche di questo tipo. In realtà, però, sembrano esserci degli aspetti differenti: la “famiglia” è la stessa, ma la modalità di attacco è differente per via dell’estensione .args per crittografare i file violati e sottratti (in attesa di riscatto, con la minaccia di pubblicazione dei dati in caso di mancato pagamento).

L’attribuzione

E mentre tutto ciò accadeva, è iniziato il “balletto” delle attribuzioni. Si è parlato di pirati informatici russi o affiliati alla Corea del Nord. Per il momento, però, non è possibile collegare questo attacco ransowmare ESXiArgs a nessuna gang di cybercriminali. Innanzitutto per l’assenza – per ora – di una rivendicazione (neanche nella firma del messaggio apparso alle aziende colpite) ufficiale (neanche sui gruppi Telegram dei vari “collettivi”), poi per la richiesta di riscatto (i 2 Btc sono una cifra relativamente bassa rispetto alla tradizione) in cui non compare alcun nome ma solo il numero identificativo di alcuni wallet su cui effettuare il pagamento. E trattandosi di una modalità di offensiva simile ad altre, ma differente, al momento qualsiasi tipo di attribuzione è fuori luogo.