Ransomware e Server Virtuali

Pubblicato da frtg il

Il famoso gruppo criminale Pinchy Spider, noto per il suo Raas (Ransomware as a Serice) Revil, ha sviluppato un nuovo ransowmare, denominato REvix, con l’obiettivo di colpire gli ambienti Linux ed ESXi. Il nuovo ransomware permetterà agli affiliati di avere una maggior superficie di attacco e di conseguenza maggiori possibilità di chiedere un riscatto.

Obiettivi del ransomware

Il ransomware è stato sviluppato per colpire in ambienti Linux-based ed ESXi. Quest’ultimo è stato oggetto di molteplici vulnerabilità negli ultimi mesi, dando modo agli attaccanti di eseguire comandi da remoto con privilegi amministrativi (CVE-2021-21972).

REvix viene distribuito come eseguibile in formato ELF a 64 bit e può cifrare file (potenzialmente) su qualsiasi sistema Linux che abbia un’architettura Intel x86-64 e possa linkare dinamicamente glibc 2.2.5 o caricare file ELF.

Versione per ESXi

Come Pinchy Spider, anche altri gruppi criminali hanno sviluppato con successo varianti di ransomware dedicate agli ambienti ESXi. Tra questi vanno menzionati Carbon Spider, noto per il ransowmare Darkside, e Sprite Spider, già noto per il suo ransomware DEFRAY777 capace di colpire in ambienti ESXi.

L’utilizzo sempre più frequente di piattaforme e sistemi di virtualizzazione ha portato i vari gruppi criminali a focalizzarsi anche su sulle piattaforme che permettono di sfruttare tale tecnologia, prima fra tutte VMWare. Una maggiore attenzione sulla sicurezza di questa ambienti risulta quindi necessaria, al fine di evitare spiacevoli conseguenze a seguito di un attacco ransomware.