Nelle ultime settimane Trend Micro, multinazionale che opera nel campo della sicurezza informatica, ha rilevato diversi attacchi ransomware su Linux che hanno interessato i server VMware ESXi, impiegati in ambito aziendale per la creazione e l’esecuzione di macchine virtuali ad elevate prestazioni. I cybercriminali procedono con la cifratura dei file, chiedendo di essere contattati entro tre giorni, limite massimo per evitare la divulgazione dei dati crittografati.
Indice dei contenuti:
Come agisce Cheerscrypt
Nel momento in cui Cheerscrypt va all’attacco, l’esecuzione delle macchine virtuali cessa per permettere al ransomware di individuare i file relativi a VMware, quelli con estensione .log, .vmdk, .vmem, .vswp e .vmsn. Prima di proseguire con la cifratura, i file vengono rinominati con l’estensione .Cheers e all’interno di ogni cartella viene aggiunta la nota “How to Restore Your Files.txt” contenente la richiesta per il riscatto. Occorre però far notare che senza l’autorizzazione di accesso al file non sarà possibile procedere con la cifratura, con il conseguente insuccesso dell’attacco ransomware.
Come ha avuto modo di spiegare Trend Micro, l’algoritmo di cifratura scelto dai cybercriminali è SOSEMANUK. Per ogni file, questo cifrario genera una coppia di chiavi, una pubblica e una privata, e combina la chiave privata generata con una seconda chiave pubblica incorporata nel ransomware per crearne una segreta. É interessante notare come la chiave privata generata dal programma non venga salvata: in questo modo, i criminali rendono impraticabile la decifratura dei dati. Pertanto, la decrittazione è possibile solamente se la chiave privata dei criminali informatici è nota.
La cybersecurity tra le priorità delle aziende
ESXi è ampiamente utilizzato negli ambienti aziendali per la virtualizzazione dei server ed è bersaglio oramai consueto di attacchi ransomware in un contesto dove le minacce sono sempre più frequenti e in evoluzione.
Considerando la prima metà del 2021, un rapporto del Viminale sottolinea come i cyber crimini in Italia siano aumentati vertiginosamente, con circa 800 reati informatici al giorno che hanno coinvolto in prima battuta le piccole e medie imprese, le quali risultano essere maggiormente esposte ai danni e alle conseguenze in termini di costi degli attacchi. In quest’ottica, gli investimenti nel mercato della cybersecurity hanno recentemente raggiunto un incremento del 134%, sintomo di crescente attenzione in fatto di sicurezza informatica e di come le realtà preferiscano agire preventivamente allocando risorse per assicurarsi soluzioni affidabili.
L’implementazione di una strategia di Disaster Recovery funge da salvaguardia di file e dati anche in caso di eventi imprevisti, come può essere un attacco ransomware. Conservando una o più copie di backup in uno storage esterno e replicato in tempo reale, questa soluzione rende sempre disponibili al ripristino tutti i dati, così da garantire la continuità della tua attività.
