Un ransomware nell’ambiente virtuale

Diversi gruppi di cybercriminali hanno sfruttato alcune vulnerabilità presenti in VMware ESXi per infettare i dispositivi con un ransomware.

Sebbene la virtualizzazione riduca in modo significativo i rischi dovuti alle minacce informatiche, non è la panacea di tutti i mali. Un attacco ransomware potrebbe comunque colpire l’infrastruttura virtuale, così come riportato di recente da ZDNet, sfruttando ad esempio le versioni vulnerabili di VMware ESXi.

Optare per una macchina virtuale è un approccio sicuro e solido; ad esempio, se una macchina virtuale non contiene dati sensibili, i danni dovuti a un’infezione possono essere contenuti. Anche se l’utente attiva per sbaglio un Trojan su una macchina virtuale, la creazione di una nuova immagine della macchina virtuale annullerà qualsiasi modifica dannosa.

Tuttavia, il ransomware RansomExx colpisce specificatamente le vulnerabilità presenti in VMware ESXi con lo scopo di attaccare gli hard disk virtuali. Si pensa che il gruppo Darkside utilizzi lo stesso metodo; inoltre, i creatori del Trojan BabuLocker hanno insinuato di essere già in grado di cifrare ESXi.

Di quali vulnerabilità stiamo parlando?

L’ipervisore VMware ESXi consente a numerose macchine virtuali di salvare informazioni su un solo server mediante l’Open SLP (Service Layer Protocol) che, tra le altre cose, può rilevare i dispositivi di rete senza preconfigurazione. Le due vulnerabilità in questione si chiamano CVE-2019-5544 e CVE-2020-3992, entrambe di vecchia data e già note ai cybercriminali. La prima viene sfruttata per portare a termine attacchi di heap overflow, mentre la seconda è di tipo Use-After-Free, ovvero è legata all’uso non adeguato della memoria dinamica durante le operazioni.

Entrambe le vulnerabilità sono state risolte tempo fa (la prima nel 2019, la seconda nel 2020); tuttavia, siamo nel 2021 e grazie ad esse i cybercriminali riescono ancora a portare a termine con successo, il che vuole dire che alcune aziende non hanno ancora aggiornato i propri software.

In che modo i cybercriminali sfruttano le vulnerabilità di ESXi?

I criminali informatici possono utilizzare queste vulnerabilità per generare richieste SLP dannose e compromettere il salvataggio dei dati. Per cifrare le informazioni innanzitutto hanno bisogno di penetrare nella rete e di stabilirvisi; non si tratta di un grosso problema, soprattutto se sulla macchina virtuale non è attiva una soluzione di sicurezza.

Per consolidare la presenza nel sistema, i creatori di RansomExx possono sfruttare, ad esempio, la vulnerabilità Zerologon (all’interno del protocollo remoto Netlogon). In questo modo, ingannano l’utente affinché faccia partire il codice dannoso sulla macchina virtuale, poi i cybercriminali prendono le redini del controller Active Directory e solo allora cifrano la memoria e scrivono un messaggio per richiedere il riscatto.

Purtroppo, però, Zerologon non è l’unica opzione ma è solo una tra le più pericolose, in quanto è praticamente impossibile individuarla senza ricorrere a servizi specifici.

Come evitare gli attacchi su MSXI

  • Aggiornate VMware ESXi;
  • Se è proprio impossibile procedere all’aggiornamento, seguite il workaround suggerito da Mware (questo metodo, però, limita alcune funzionalità SLP);
  • Aggiornate anche Microsoft Netlogon per risolvere la vulnerabilità che lo riguarda;
  • Proteggete tutti i dispositivi della rete, comprese le macchine virtuali;
  • Avvaletevi della nostra soluzione Managed Detection and Response, che individua anche gli attacchi multifase più complessi che non vengono rilevati dalle soluzioni antvirus convenzionali.
Consigli