In occasione del recente attacco Giampaolo Dedola, Senior Security Researcher, Global Research and Analysis Team (GReAT) Kaspersky, ha commentato:
“La recente campagna d’infezioni ransomware che sta interessando alcuni server ESXi in varie parti del mondo mostra come questo tipo di minaccia sia ancora molto diffusa e che l’applicazione di requisiti di sicurezza minimi, come la mancata installazione puntuale degli aggiornamenti di sicurezza, sia ancora oggi un problema comune.
Le informazioni attualmente a disposizione indicano, infatti, che gli attaccanti stanno utilizzando come vettore d’infezione una vulnerabilità nota dal 2021, per la quale sono disponibili pubblicamente dei PoC (proof of concept), esempi di codice che mostrano come sfruttare la vulnerabilità. Dalle prime analisi si evince inoltre una similarità tra il ransomware usato in questi attacchi e “Babuk”, un noto ransomware il cui codice è anch’esso disponibile pubblicamente e potrebbe essere stato utilizzato come base di partenza per lo sviluppo del malware.
Queste condizioni comportano che anche attaccanti sprovvisti di elevate competenze tecniche possono lanciare azioni offensive di successo. La campagna in questione mette quindi in evidenza il livello di rischio a cui vengono esposte le macchine raggiungibili tramite internet e non protette adeguatamente.
Per dare un’idea della diffusione dei ransomware, possiamo dire che nei primi dieci mesi del 2022, la percentuale di utenti attaccati è quasi raddoppiata rispetto allo stesso periodo del 2021. Questa crescita così impressionante indica che le organizzazioni di ransomware hanno continuato a perfezionare le loro tecniche e a sviluppare nuove varianti di ransomware, nel 2022 ne abbiamo rilevate più di 21.400”.