Una recente analisi condotta da CrowdStrike ha rivelato che un nuovo gruppo di ransomware-as-a-service, soprannominato MichaelKors (precedentemente noto come Qilin), ha iniziato attivamente a prendere di mira i server VMware ESXi a partire dal mese di aprile 2023.
Indice degli argomenti
La mancanza di supporto antivirus spalanca le porte al crimine
Il panorama delle minacce informatiche continua a evolversi e adattarsi, con i gruppi di ransomware che cercano costantemente nuovi modi per attaccare le organizzazioni.
Mentre nel 2022 la stessa CrowdStrike ha osservato una diminuzione degli autori di minacce che impiegano tecniche di ransomware tradizionali, i gruppi di ransomware continuano a sfruttare obiettivi specifici, e VMware è uno di questi. Gli autori delle minacce, inclusi i gruppi di eCrime e quelli sofisticati sponsorizzati da Stati-Nazione come l’Iran e la Corea del Nord, hanno compreso l’elevata vulnerabilità degli ambienti VMware ESXi e continuano a infiltrarsi in questa infrastruttura.
CrowdStrike ha identificato l’offerta del prodotto “MichaelKors” come uno dei protagonisti più attivi in questo contesto. Questo gruppo, che ha avuto origine come Qilin, ha ora adottato il nome MichaelKors, rafforzando la sua presenza nello scenario del ransomware. Utilizzando un modello ransomware-as-a-service (RaaS), il gruppo permette ad altri cybercriminali di sfruttare il loro malware e la loro infrastruttura in cambio di una percentuale dei profitti derivanti dai pagamenti delle vittime.
Uno dei maggiori problemi legati alla sicurezza degli Hypervision di VMware, è dettato direttamente da un avviso lanciato dalla stessa società dal 2020 “il software antivirus non è richiesto con vSphere Hypervisor e l’uso di tale software non è supportato”, creando una certa vulnerabilità nei sistemi vSphere. Quindi, afferma CrowdStrike, sempre più attori delle minacce stanno riconoscendo che la mancanza di strumenti di sicurezza, la mancanza di un’adeguata segmentazione della rete delle interfacce ESXi e le vulnerabilità, ne fanno una preda molto ricercata.
MichaelKors: server VMware ESXi nel mirino del ransomware
Ciò che rende, inoltre, particolarmente preoccupante l’attività di MichaelKors è il suo mirare ai server VMware ESXi. Questi server virtuali, ampiamente utilizzati da organizzazioni di ogni dimensione e settore, sono fondamentali per l’archiviazione e la gestione dei dati. Gli attacchi a tali server possono avere gravi conseguenze, causando interruzioni operative, perdita di dati critici e costi finanziari significativi per le organizzazioni colpite.
Il gruppo MichaelKors ha dimostrato una notevole abilità nel compromettere e criptare i server VMware ESXi, rendendo difficile per le vittime ripristinare i loro dati senza pagare un riscatto. Le tattiche di attacco includono spesso l’utilizzo di vulnerabilità conosciute e tecniche di spear-phishing per ottenere l’accesso iniziale all’ambiente ESXi.
Come mitigare i rischi
La scoperta di questo nuovo gruppo di ransomware sottolinea l’importanza di una sicurezza informatica robusta e di una costante vigilanza.
Le organizzazioni che utilizzano i server VMware ESXi devono garantire di implementare tutte le patch di sicurezza disponibili e di adottare le migliori pratiche di sicurezza.