attacchi-ransomware-ai-server-esxi-|-sicurezza.net
Affari

Attacchi ransomware ai server ESXI | sicurezza.net

Redazione

Ondata di attacchi ransomware ai server ESXI che sfruttano il bug di VMware

Gli hypervisor VMware ESXi sono il bersaglio di una nuova ondata di attacchi progettati per distribuire ransomware sui sistemi compromessi.

“Queste campagne di attacco sembrano sfruttare la CVE-2021-21974, per la quale è disponibile una patch dal 23 febbraio 2021”, ha dichiarato il Computer Emergency Response Team (CERT) francese in un avviso di venerdì.

VMware, nel suo avviso pubblicato all’epoca, ha descritto il problema come una vulnerabilità heap-overflow di OpenSLP che potrebbe portare all’esecuzione di codice arbitrario.

“Un malintenzionato che risieda nello stesso segmento di rete di ESXi e che abbia accesso alla porta 427 potrebbe essere in grado di innescare il problema dell’heap-overflow nel servizio OpenSLP, con conseguente esecuzione di codice remoto”, ha dichiarato il fornitore di servizi di virtualizzazione.

Gli attacchi ransomware ai server ESXI a livello globale

Il provider francese di servizi cloud OVHcloud dichiara, dunque, che gli attachi ransomware ai server ESXI sono stati rilevati a livello globale, con un focus specifico sull’Europa.

Tuttavia, si sospetta che le intrusioni siano legate a un nuovo ceppo di ransomware basato su Rust, chiamato Nevada, emerso sulla scena nel dicembre 2022.

Altre famiglie di ransomware note per aver abbracciato Rust negli ultimi mesi sono:

  • Hive
  • Luna
  • Nokoyawa
  • RansomExx
  • Agenda

Resecurity il mese scorso,ha dichiarato:

  • “Gli attori invitano gli affiliati di lingua russa e inglese a collaborare con un gran numero di Initial Access Brokers (IAB) nel dark web”.
  • “In particolare, il gruppo dietro il Nevada Ransomware sta anche acquistando autonomamente gli accessi compromessi, il gruppo ha un team dedicato per il post-exploitation e per condurre intrusioni di rete negli obiettivi di interesse”.

Tuttavia, Bleeping Computer riporta che le note di riscatto viste nell’ondata di attacchi ransomware ai server ESXI non hanno alcuna somiglianza con il ransomware Nevada, aggiungendo che il ceppo è stato rintracciato con il nome di ESXiArgs.

Quindi, si raccomanda agli utenti di aggiornare all’ultima versione di ESXi per mitigare le potenziali minacce e di limitare l’accesso al servizio OpenSLP agli indirizzi IP affidabili.

Aggiornamento

OVHcloud, inoltre, conferma che gli attacchi ransomware hanno sfruttato una vulnerabilità in OpenSLP come vettore di compromissione iniziale.

L’azienda, tuttavia, ha dichiarato di non poter confermare se si sia trattato di un abuso di CVE-2021-21974 in questa fase. Ha inoltre ribadito di non aver trovato alcuna prova che colleghi le intrusioni al ransomware Nevada.

Related Posts

apt43-usa-crimine-informatico-per-autofinanziarsi-|-sicurezza.net
Affari

APT43 usa crimine informatico per autofinanziarsi | sicurezza.net

Redazione
da-windows-search-potremo-presto-installare-app-|-sicurezza.net
Affari

Da Windows Search potremo presto installare app | sicurezza.net

Redazione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *