L’Italia è sotto attacco di ESXiArgs. Il ransomware sfrutta i server VMware ESXi e la vulnerabilità CVE-2021-21974. L’ACN: Aggiornate i sistemi subito!

L’Italia è sotto un attacco ransomware di ESXiArgs. La campagna è collegata alla Francia, che sta subendo un’offensiva identica da circa tre giorni. Non sembra, però, che al momento ci siano bersagli specifici. I threat actor, infatti, prendono di mira tutti i server VMware ESXi indistintamente, alla ricerca di quelli che non hanno installato la patch per risolvere la vulnerabilità CVE-2021-21974, sfruttata dagli hacker malevoli per infiltrarsi nelle macchine-target, assumendone il controllo ed escludendo gli amministratori leciti. Obiettivo: chiedere un riscatto. Su questo punto è interessante il fatto che i riscatti siano inusualmente bassi, circa 43.000 euro.

La falla, causata da un problema di heap overflow nel servizio OpenSLP, era stata già risolta dal vendor a febbraio 2021. Non tutti, però, hanno aggiornato i sistemi, anche in Italia. Ecco perché l’Agenzia per la Cybersicurezza Nazionale (ACN), oltre ad aver denunciato il massiccio attacco in corso contro l’Italia mediante il CSIRT Italia, ha invitato tutti gli operatori ad aggiornare immediatamente i sistemi ancora vulnerabili.

Sugli autori ci sono diversi sospetti. I russi di Killnet hanno preso di mira gli ospedali in Occidente e non si può escludere la motivazione economica, cara ai nord coreano di Lazarus

Sulla matrice degli attacchi ESXiArgs al momento non ci sono informazioni. La campagna ransomware via server VMware ESXi e CVE-2021-21974, peraltro, non prende di mira solo l’Italia, ma è a carattere globale. Risultano, infatti, aggressioni anche contro la Francia, la Finlandia, il Canada e gli Stati Uniti. Di certo c’è, però, che gli hacker russi della galassia Killnet nei giorni scorsi hanno lanciato una violenta offensiva DDoS contro l’Occidente (Europa e USA) a seguito del sostegno all’Ucraina. In particolare, è stato preso di mira il settore sanitario (ospedali e istituzioni mediche).

Non è detto, perciò, che le due campagne non siano collegate e che sfruttino più attori per colpire i paesi-bersaglio in contemporanea con diverse tipologie di attacco. Non si può nemmeno escludere, dato il carattere “economico” dell’operazione (le richieste di riscatto), che non sia opera dei nord coreani di Lazarus o di qualche loro sottogruppo. L’ampiezza geografica degli attacchi e il loro timing, infatti, suggerisce che gli esecutori siano un gruppo ben finanziato e organizzato, con elevate capacità tecniche. E non ce ne sono molti che rispondono a tutte queste caratteristiche.