È stata rilevata una nuova variante di Royal Ransomware, la cyber gang identificata come uno dei successori dell’operazione Conti, che sta prendendo di mira i server VMware ESXi.
Proprio in occasione dell’ultima popolare campagna malevola contro queste infrastrutture non aggiornate e ancora oggi vulnerabili ed esposte su Internet, condotta con il ransomware ESXiArgs, Royal Ransomware sembra dunque essere tra i primi gruppi criminali organizzati a sfruttare la vasta superficie di attacco.
Indice degli argomenti
L’attacco contro i server VMware ESXi operato da Royal
L’esistenza del nuovo aggiornamento del malware utilizzato da Royal è stata rilevata da Will Thomas dell’Equinix Threat Analysis Center (ETAC). Si tratta di una nuova variante della versione Linux del ransomware adoperato da questa cyber gang.
Una volta operata la crittografia, questa variante aggiunge l’estensione “.royal_u” a tutti i file interessati dal processo. È importante evidenziare che si tratta di una variante molto recente e appena scoperta, per cui le difese automatiche potrebbero ancora non rilevarla: ad ogni modo, da un controllo su VirusTotal, sono già 33 i vendors di sicurezza informatica che hanno implementato questo riconoscimento nei propri sistemi di protezione.
Royal Ransomware, per quanto recente visto che è emersa nella scena cyber appena dopo la chiusura delle operazioni di Conti, è comunque un gruppo criminale ben noto e particolarmente attenzionato dagli esperti di tutto il mondo. Questo ci permette di conoscere il modus operandi di questo gruppo che, lo ricordiamo, è motivato unicamente dall’arricchimento economico e il pagamento del riscatto proposto alla vittima è l’unico obiettivo.
Questo aggiornamento fa inevitabilmente cambiare anche lo scenario che nell’ultimo fine settimana ci si è presentato relativamente agli attacchi ransomware contro le infrastrutture VMware. Infatti, finora, non c’erano prove di esfiltrazione di dati, né di doppia estorsione, quindi con la conseguente pubblicazione di eventuale materiale sensibile rubato durante l’attacco. L’interesse di Royal verso questi stessi target potrebbe cambiare questo scenario, arricchendo il noto Data Leak Site di questa cyber gang con le vittime anche derivanti dagli attacchi verso ESXi.
Come difendere la nostra organizzazione
Vero è, infatti, che nonostante abbiano finito il loro ciclo di vita con il supporto degli sviluppatori, sono decine di migliaia di server VMware ESXi esposti su Internet. Queste macchine quindi non riceveranno più aggiornamenti di sicurezza e questo li esporrà via via a rischi di attacchi sempre maggiori.
Una superficie di attacco molto ampia, è proprio quella che cyber gang come Royal stanno iniziando a sfruttare grazie anche alla diffusione e alla popolarità di questo software di virtualizzazione di VMware.
Il tema dell’esposizione su Internet di virtual machines, anche quando non strettamente necessario, fa parte di quelle buone pratiche che stentano anche negli anni a decollare definitivamente.
Questo, accompagnato alla scarsa manutenzione delle macchine, neppure con gli aggiornamenti di sicurezza necessari del software che le governa, dopo anni (la vulnerabilità più comunemente sfruttata risulta essere aggiornata a febbraio 2021), creano un mix perfetto per l’attaccante che baserà la sua campagna unicamente in operazioni di ricerca online (anche con strumenti OSINT) dei target esposti, per poi agire a colpo sicuro con il medesimo exploit.
Da qui l’importanza di una puntuale pratica di aggiornamento che, per quanto semplice e banale, provoca inevitabilmente inutili rischi dall’impatto largamente dirompente per la nostra organizzazione o ente pubblico.
