I criminali informatici stanno attivamente sfruttando una vulnerabilità VMware vecchia di due anni come parte di una campagna ransomware che prende di mira migliaia di organizzazioni in tutto il mondo.
Durante il fine settimana sono emersi rapporti secondo cui i server VMware ESXi rimasti vulnerabili e senza patch contro un bug sfruttabile da remoto del 2021 sono stati compromessi e codificati da una variante di ransomware denominata "ESXiArgs". ESXi è l'hypervisor di VMware, una tecnologia che consente alle organizzazioni di ospitare diversi computer virtualizzati che eseguono più sistemi operativi su un singolo server fisico.
Il team francese di risposta alle emergenze informatiche CERT-FR riferisce che i criminali informatici hanno preso di mira i server VMware ESXi dal 3 febbraio, mentre domenica l'agenzia nazionale italiana per la sicurezza informatica ACN ha avvertito di una campagna ransomware su larga scala che prende di mira migliaia di server in Europa e Nord America.
Anche i funzionari della sicurezza informatica degli Stati Uniti hanno confermato che stanno indagando sulla campagna ESXiArgs. " La CISA sta lavorando con i nostri partner del settore pubblico e privato per valutare l'impatto di questi incidenti segnalati e fornire assistenza ove necessario", ha dichiarato a TechCrunch un portavoce della CISA. "Qualsiasi organizzazione che subisca un incidente di sicurezza informatica dovrebbe segnalarlo immediatamente alla CISA o all'FBI".
I funzionari italiani della sicurezza informatica hanno avvertito che la falla ESXi potrebbe essere sfruttata da attori di minacce non autenticati in attacchi a bassa complessità, che non si basano sull'utilizzo di password o segreti dei dipendenti, secondo l'agenzia di stampa italiana ANSA . La campagna ransomware sta già causando danni "significativi" a causa del numero di macchine prive di patch, ha riferito la stampa locale.
Secondo una ricerca Censys (tramite Bleeping Computer ) , finora più di 3.200 server VMware in tutto il mondo sono stati compromessi dalla campagna ransomware ESXiArgs . La Francia è il paese più colpito, seguita da Stati Uniti, Germania, Canada e Regno Unito.
Non è chiaro chi ci sia dietro la campagna ransomware. Il provider francese di cloud computing OVHCloud ha fatto marcia indietro sui suoi risultati iniziali, suggerendo un collegamento alla variante del ransomware del Nevada.
Una copia della presunta richiesta di riscatto, condivisa dal fornitore di informazioni sulle minacce DarkFeed , mostra che gli hacker dietro l'attacco hanno adottato una tecnica di "tripla estorsione", in cui gli aggressori minacciano di informare i clienti delle vittime della violazione dei dati. Gli aggressori sconosciuti chiedono 2,06 bitcoin - circa $ 19.000 in pagamenti di riscatto - con ogni nota che mostra un diverso indirizzo di portafoglio bitcoin.
In una dichiarazione rilasciata a TechCrunch, il portavoce di VMware Doreen Ruyak ha affermato che la società era a conoscenza di segnalazioni secondo cui una variante di ransomware denominata ESXiArgs "sembra sfruttare la vulnerabilità identificata come CVE-2021-21974 " e ha affermato che le patch per la vulnerabilità "sono state rese disponibili ai clienti due anni fa nell'avviso sulla sicurezza di VMware del 23 febbraio 2021."
"L'igiene della sicurezza è un componente chiave per prevenire gli attacchi ransomware e le organizzazioni che eseguono versioni di ESXi interessate da CVE-2021-21974 e non hanno ancora applicato la patch dovrebbero agire come indicato nell'avviso", ha aggiunto il portavoce.