*ESXI ARGs RANSOMWARE* Facciamo chiarezza

Nella la live abbiamo analizzato il comunicato di Agenzia per la Cybersicurezza Nazionale su #esxiargs #ransomware e…

Il comunicato di ACN è perfettamente in linea con quello che sta accadendo, bleeping computer, giornali tedeschi e l’ACN francese hanno detto le stesse cose.

Partiamo con un fact-checking:

Il ransomware non è attribuibile a Nevada, esxiargs usa estensioni .args e non .nevada, usa RSA invece di ECC per la cifratura. Nevada usa ECC.

La campagna malware ha preso una piega globale, come fonte potete controllare censys, siamo alle 4000. Non basta più solo disattivare SLP, non basta più cercare il file py relativo alla backdoor.

Questa seconda ondata di args cifra quantità più ampie di file ed ha reso i tool di recovery inutili. Quindi le risatine su quanto questa campagna malware sia irrisoria sono indice di un check urgente della propria professionalità.

Il numero di soggetti infettati non è indicativo delle conseguenze, non dice niente sulla criticità di quei servizi. Nonostante la prima ondata abbia avuto il lusso della recovery hanno comunque smesso di funzionare per minimo 24h, con tutte le conseguenze di sicurezza annessa dei servizi che ci si appoggiano.

L’estensione della campagna malware non è detto che abbia colpito solo soggetti esposti pubblicamente.

Tracciare i wallet delle ransom note denota un esiguo guadagno, ma nella seconda ondata stanno implementando contromisure per non rendere pubblicamente esposti gli address dei wallet nelle note.

I casi recenti di Tim, Virigilio, Libero non sono correlati a ransomware ma disservizi.