Il cyber crimine non butta via niente. Al contrario, tende a riciclare – evolvendole – tecniche e tecnologie già in auge da tempo. Ne è fulgido esempio il collettivo Abyss Ransowmare che ha dato nuova vita a Hello Kitty, apparso per la prima volta alla fine del 2020 e il cui codice sorgente è stato pubblicato su un forum di hacking alla fine del 2023.
Il collettivo, di cui si conoscono le gesta proprio dal 2023, si è fatto una nomea grazie all’aggressività con cui prende di mira diversi comparti, in particolare quelli della finanza e della produzione di beni, minando i sistemi Windows e Linux, in particolare quelli virtualizzati con WMware ESXi.
Come vedremo con l’esperto ICT e membro Clusit Salvatore Lombardo, gli ambienti di virtualizzazione non sono esenti da attacchi e minacce.
Indice degli argomenti
Cosa sapere a proposito di Abyss Ransomware
Abyss Ransomware, noto anche come Abyss Locker, è un gruppo capace di dare nuova linfa alle minacce esistenti e sembra davvero determinato nel perseguire i propri scopi criminali tant’è che, in circa un anno, si è guadagnato una certa visibilità nel variegato mondo del cyber crimine.
In pochi mesi ha fatto di una minaccia multipiattaforma un ransomware tipico degli ambienti Windows. I membri del collettivo sono capaci, furbi e persino sfrontati nel perpetrare gli attacchi.
È un collettivo dedito ai ransomware multi-estorsione e non si limita a crittografare i dati, ne esfiltra di sensibili al fine di usarli come leva per ottenere il pagamento del riscatto.
Inoltre, Abyss Ransomware si distingue per la capacità di movimento laterale e per interrompere servizi e processi critici.
Gli effetti del ransomware
Abyss Ransomware interessa, come detto, sia gli ambienti Windows sia quelli Linux, server virtuali inclusi.
Il collettivo si guadagna l’accesso ai sistemi principalmente grazie a email phishing e sfruttando vulnerabilità note dei server. Nel caso degli ambienti Linux, Abyss Ransomware sferra anche attacchi brute force per poi avviare il processo di cifratura dei file.
In seguito, per paralizzare i server Windows, il collettivo interrompe servizi e processi critici al fine di interrompere il lavoro di database, server di posta elettronica e sistemi di backup. Le possibilità di recovery native dei sistemi operativi vengono compromesse cambiando le configurazioni di boot dei sistemi.
Per quanto riguarda le macchine Linux virtualizzate, Abyss Ransomware tende a escludere le directory vitali (come, per esempio, /boot, /usr/lib o /dev) affinché i server siano funzionanti anche una volta terminate le procedure di encrytpion dei file, questo al fine di spingere le vittime a pagare il riscatto il più presto possibile, dando loro la sensazione che la situazione non sia del tutto compromessa e che possa peggiorare.
In ultimo, il collettivo fa leva su meccanismi di persistenza affinché il ransomware rimanga attivo anche in seguito a reboot o a tentativi di ripristino delle macchine virtuali da parte delle organizzazioni colpite.
Abyss Ransomware: possibili soluzioni di mitigazioni
Con Salvatore Lombardo ci concentriamo sulle macchine virtuali che, in alcuni casi, tendono a trasmettere una eccessiva percezione di sicurezza. Di fatto sono una buona soluzione anche dal punto di vista dalla cyber security ma non sono inespugnabili. Ecco, quindi, i consigli dell’esperto: “La virtualizzazione rimane una soluzione valida e spesso vantaggiosa anche in ambito di sicurezza informatica, nonostante le vulnerabilità che possono essere sfruttate dagli attaccanti, perché:
- Le macchine virtuali possono essere isolate l’una dall’altra, riducendo il rischio che un attacco su una VM si propaghi ad altre.
- La virtualizzazione permette di eseguire software sospetti in ambienti isolati (sandbox), proteggendo il sistema principale da potenziali minacce.
- La virtualizzazione facilita il disaster recovery, permettendo di ripristinare rapidamente i sistemi compromessi.
- La virtualizzazione riduce l’hardware necessario in un data center, diminuendo a sua volta i punti di attacco potenziali”.
Sebbene offra dei vantaggi misurabili, la virtualizzazione non è una panacea, come evidenzia in conclusione, Salvatore Lombardo: “Tuttavia, per massimizzare questi benefici è fondamentale configurare correttamente e mantenere aggiornati gli ambienti virtualizzati. La virtualizzazione non è una soluzione per tutti i mali, ma se utilizzata correttamente, può essere un potente strumento nella strategia di sicurezza di un’organizzazione”.
