L’attacco ransomware ESXi è stato eseguito da una complessa organizzazione criminale. Prevenzione fondamentale per mitigare il rischio

Il recente attacco ransomware ESXi che ha colpito duramente le aziende nel primo weekend di febbraio rappresenta una manifestazione dell’evoluzione del crimine informatico verso un modello caratterizzato da organizzazione, efficienza e sinergia. Le tecniche utilizzate per gli attacchi sono in continua evoluzione, ma quello che desta particolare preoccupazione è la sofisticata pianificazione e coordinazione dei criminali coinvolti.

 

Com’è avvenuto l’attacco ransomware

L’attacco ransomware ESXi è stato eseguito da una complessa organizzazione criminale in maniera metodica e sofisticata. La fase iniziale dell’operazione ha coinvolto una intensa attività di ricerca su Internet per individuare potenziali obiettivi, scoperti tramite un software che ha effettuato scansioni sui computer connessi alla rete, verificando la presenza di vulnerabilità sui server ESXi non correttamente aggiornati. Una volta identificati i server potenzialmente vulnerabili, i dati sono stati trasmessi agli sviluppatori che hanno predisposto l’attacco.

La creazione di un ransomware e di una procedura di attacco semiautomatica è stata effettuata per velocizzare l’operazione, ma i cybercriminali hanno presto scoperto di avere a disposizione un numero di obiettivi superiore a quelli che erano in grado di gestire, motivo per cui hanno reclutato altre organizzazioni criminali per supportare l’attacco, a fronte della condivisione degli utili ricavati.

La prevenzione per mitigare i rischi

La durata delle campagne di attacco è limitata a causa del rapido intervento delle aziende che, una volta consapevoli della minaccia, implementano contro-misure per prevenire ulteriori attacchi tramite gli stessi strumenti e vulnerabilità. La prevenzione rappresenta un fattore cruciale nella mitigazione del rischio di attacco. Alcuni degli elementi potenzialmente vulnerabili sono:

  • cartelle condivise non protette
  • sistemi lasciati con impostazioni di fabbrica
  • dispositivi Rogue (dispositivi esterni non autorizzati) collegati alla rete aziendale
  • dispositivi o applicazioni dati in gestione a terzi
  • account utente di default non necessari attivi
  • porte TCP aperte non necessarie
  • esecuzione di servizi Web che contengono vulnerabilità note
  • porte non necessarie/aperte su router e IP
  • accessi avvenuti senza autenticazione o non autorizzati
  • software obsoleti, spesso oggetto di attacco da parte di cracker informatici

Sei a conoscenza delle nuove minacce che mettono a repentaglio la sicurezza
della tua organizzazione?

Rispondi a queste 10 domande per misurare il livello di sicurezza della tua organizzazione, della tua azienda, dei tuoi software, in termini di processi, standard e tecnologie in uso.