La nuova campagna ransomware prende di mira il vecchio difetto di VMware corretto due anni fa
Analisi della campagna ransomware contro il precedente difetto di VMware
La nuova campagna ransomware prende di mira il vecchio difetto di VMware corretto due anni fa.
Le vulnerabilità informatiche rappresentano un’importante minaccia per la sicurezza delle reti e dei dati custoditi all’interno di sistemi informatici. In particolare, le nuove tecniche di attacco ransomware – come guerre cibernetiche – prendono di mira non solo i servizi cloud, ma anche le tradizionali architetture IT. Uno dei più recenti esempi di attaco ransomware è una campagna diretta verso un vecchio difetto di VMware, noto come CVE-2019-5544, corretto due anni fa.
In che modo si è sviluppata la campagna ransomware?
I ricercatori hanno scoperto che il ransomware colpisce le architetture VMware in esecuzione su una serie di componenti aziendali: server, desktop e dispositivi mobile. Le tecniche di attacco prendono di mira le vulnerabilità della piattaforma VMware esistenti o precedentemente identificate, come CVE-2019-5544, la vulnerabilità utilizzata per sfruttare la campagna ransomware.
Il malware è stato rilevato dai ricercatori durante una catena di infezione che iniziava con un sistema infetto con la minaccia iniziale. Tale campagna utilizzava una tecnica chiamata ‘porta di legno’ per diffondere il ransomware in tutta la rete aziendale. Il processo prevede l’esecuzione ripetuta di una serie di istruzioni per eseguire l’infezione su più dispositivi.
Una volta infettati i dispositivi, una nota che recita “Sblocca tutti i file in cambio di un riscatto” viene Visualizzata sullo schermo. Una volta sbloccati i file, una nota di ringraziamento appare sullo schermo, promettendo che i file non saranno più resi in condizioni di blocco.
Quali le misure preventive?
Le aziende devono assicurarsi di applicare patch e aggiornamenti di sicurezza a tutti i dispositivi per prevenire la diffusione di tale ransomware. I sistemi devono essere periodicamente monitorati per tenere traccia di particolari attività anomale, come la creazione di un gran numero di connessioni in entrata, cambiamenti dei permessi di accesso, modifiche del registro di sistema e così via.
Inoltre, è possibile tutelare le reti informatiche con firewall adeguati per filtrare tutti i dati non necessari dalle reti, nonché con software antivirus aggiornati, per prevenire l’esecuzione di codice maligno.
Infine, i responsabili della sicurezza delle aziende devono prendere in considerazione misurazioni di sicurezza come la gestione delle identità, la crittografia, l’autenticazione a più fattori e l’utilizzo di pratiche di sicurezza di base.
Conclusione
Per evitare la diffusione di campagne ransomware, le aziende devono prendere in considerazione misure preventive come l’applicazione di patch e aggiornamenti di sicurezza a tutti i dispositivi, l’utilizzo di firewall, software antivirus aggiornati, e altre misurazioni di sicurezza. Inoltre, i manager devono sempre tenere traccia delle attività anomale e monitorare le vulnerabilità dei sistemi informatici per garantire la sicurezza dei dati aziendali e dei sistemi informatici.