Il recente attacco ransomware ESXi che ha colpito duramente le aziende nel primo weekend di febbraio rappresenta una manifestazione dell’evoluzione del crimine informatico verso un modello caratterizzato da organizzazione, efficienza e sinergia. Le tecniche utilizzate per gli attacchi sono in continua evoluzione, ma quello che desta particolare preoccupazione è la sofisticata pianificazione e coordinazione dei criminali coinvolti.

Com’è avvenuto l’attacco ransomware

L’attacco ransomware ESXi è stato eseguito da una complessa organizzazione criminale in maniera metodica e sofisticata. La fase iniziale dell’operazione ha coinvolto una intensa attività di ricerca su Internet per individuare potenziali obiettivi, scoperti tramite un software che ha effettuato scansioni sui computer connessi alla rete, verificando la presenza di vulnerabilità sui server ESXi non correttamente aggiornati. Una volta identificati i server potenzialmente vulnerabili, i dati sono stati trasmessi agli sviluppatori che hanno predisposto l’attacco.

La creazione di un ransomware e di una procedura di attacco semiautomatica è stata effettuata per velocizzare l’operazione, ma i cybercriminali hanno presto scoperto di avere a disposizione un numero di obiettivi superiore a quelli che erano in grado di gestire, motivo per cui hanno reclutato altre organizzazioni criminali per supportare l’attacco, a fronte della condivisione degli utili ricavati.