fbpx

Ransomware @ ELF64, l’encryptor Windows su server Linux orientato alle VMware ESXi

La nuova arma del gruppo REvil per crittografare le VMware ESXi è un encryptor in grado di attaccare i sistemi Lynux utilizzando le stesse specifiche e le stesse opzioni della sua controparte Windows. Il progetto firmato Sodinokibi sarebbe in grado di crittografare più server contemporaneamente da una singola riga comando. Secondo gli esperti di sicurezza, il progetto non è un’esclusiva REvil: “dispongono di armi analoghe anche gruppi come RansomExx / Defray, Mespinoza, GoGoogle, DarkSide e Hellokitty”.

ELF64 è un eseguibile che può essere configurato per agire in modalità stealth su specifici percorsi crittografici. Le specifiche della versione Linux confermate da Vitali Kremez, hacker etico ed esperto di cybersecurity, indicano che la versione è progettata per attaccare le macchine virutali VMware ESXi. Il 9 maggio 2021 Yelisey Boguslavskiy per ADVINTEL twittavaREvil ha appena confermato direttamente di aver aggiunto una versione Linux operativa portatile anche per NAS“, aprendo l’interesse alla ricerca e all’analisi dell’eseguibile. Lo stesso giorno il collettivo DarkSide attaccava l’oleodotto della Colonial Pipeline causando un’interruzione dei servizi negli USA con la messa in emergenza di 18 stati. La ‘caccia all’elfo’ arriva al 28 giugno con la diffusione di “linee guida interessanti per l’utilizzo del binario Linux come elf.exe che evidenziano un possibile nesso con la versione originale sviluppata per il sistema operativo Windows” e con il { #REvil #Ransomware Goes Elf Hunting for VMware ESXi VM | Linux 64-Bit Flavor } sempre di Kremez. l’ELF64 è un’arma da cyberwarfare, propria di un arsenale che non è mai utilizzato a solo scopo dimostrativo.

REvil attualmente è tra i gruppi ransomware più attivi per un buon accesso alle risorse economiche necessarie per la progettazione e lo sviluppo di algoritmi cyber. Come DarkSide e altri gruppi simili, REvil si dichiara non schierato politicamente ma le azioni del gruppo non sono mai casuali e i loro progetti sono sempre sviluppati per colpire obiettivi mirati. Lo stesso vale per gli altri collettivi presenti nelle cronache della cyber security. Dopo il caso della Colonial Pipeline, Nicole Pelproth dichiarava: “Il presupposto è che Darkside non sia affiliato ad un Paese, ma come tanti gruppi di ransomware utilizza strumenti come ‘GetUserDefaultLangID’ per eseguire controlli linguistici. Se la vittima usa una delle lingue seguenti, DarkSide va avanti“. Cybersecurity reporter per The New York Times, la Pelproth propone un profilo del gruppo comune a tanti altri: “I criminali responsabili, Darkside, sono relativamente nuovi al ransomware, ma hanno un intrigante ‘codice di condotta’. Non estorceranno ospedali, pompe funebri, organizzazioni no profit. Prendono di mira grandi corpi e talvolta donano alcuni proventi a enti di beneficenza che restituiscono le donazioni“.

Raramente i gruppi ransomware agiscono senza scopo di lucro. Tra le operazioni condotte questo mese dal collettivo REvil il più noto è l’attacco alla Sol Oriens, contractor attivo nel nucleare, condotto per rubare dati aziendali, inclusi numeri di previdenza sociale dei dipendenti. La prova dell’attacco: la pubblicazione di screen panoramici sulle assunzioni, buste paga e salari, e allegata minaccia di condividere le informazioni “con agenzie d’intelligence a nostra scelta” in caso di mancato pagamento del riscatto. Colonial Pipeline, Sol Oriens, sono due esempi del trend ransomware di gruppi le cui azioni appaiono sempre più simili a “tradizionali” gruppi di pressione. Un motivo più che sufficiente per portare il ransomware all’ordine del giorno nell’agenda G7per identificare, ostacolare e considerare responsabili tutti coloro che dai proprio confini lanciano attacchi ransomware, abusano della valuta virtuale per riciclare i riscatti e commettono altri crimini informatici“, così come stabilito al Carbis Bay G7 Summit: “Invitiamo tutti gli stati a identificare e interrompere urgentemente le reti criminali ransomware che operano all’interno dei loro confini“.

Utet Giuridica nel suo Trattato di Diritto penale Cybercrime definisce cyberwarfare l’impiego di mezzi atti a sabotare, alterare o distruggere le risorse informatiche e fisiche di un paese avversario. Inizialmente, il termine cyber war nasceva e trovava contesto affiancato ad operazioni in supporto (o conseguenti) ad azioni di guerra tradizionale: in seguito al bombardamento accidentale dell’ambasciata Cinese a Belgrado durante l’Allied Force, un’e-mail storm solidale alla causa cinese colpì diversi siti web statunitensi mettendo offline, tra gli altri, il sito della Casa Bianca.

In Italia la cyberwarfare è territorio di competenza Leonardo ( ex Finmeccanica) – La skill offerta dal Gruppo è quella di un cyber training di altissimo livello: un ambiente integrato per l’addestramento al cyber attack & defence che permette inoltre “di valutare la resilienza ad attacchi cyber, analizzando software, procedure e organizzazione adottati per la gestione delle infrastrutture informatiche”, spiega Tommaso Profeta, Md Cyber Security di Leonardo. L’accordo con il Qatar Computing Research Institute, insieme al contratto firmato da Leonardo per la fornitura di un sistema radar nell’aeroporto internazionale di Hamad, e assieme alla responsabilità assunta da Leonardo “dell’elettronica per la gestione del traffico aereo e delle apparecchiature meteorologiche dello scalo di Hamad“.

Uno sguardo veloce sulla storia di Finmeccanica
PR Intruder Press

PR Intruder Press

Composta da comunicatori, pubblicisti e giornalisti sotto l’egida della nostra Legacy, Intruder Press è la firma collettiva delle notizie pubblicate su Oggi quando scritte, o aggiornate, da più firme.

Questo articolo è pubblicato con licenza Creative Commons BY-NC-ND 4.0 e sotteso alla nostra Licenza di pubblicazione, che ti invitiamo a leggere se vuoi utilizzarlo per creare opere derivate. Vigilanza e controllo studio legale S&P

Woman’s rights are Human Rights è uno dei claim che accompagna Operation Jane – l’immagine di copertina è un fotogramma del …

Anche definito Next generation EU è uno strumento finanziario europeo sviluppato in …

The Intruder News ( Intruder ) utilizza cookie di terze parti per garantire la sicurezza del sito e per fornire all'utente la miglior esperienza di navigazione possibile. I dati sono raccolti in forma anonima e in norma al Regolamento Ue (RGPD) in materia di protezione dei dati personali. Continuando ad utilizzare l'Intruder dichiari di aver preso visione della nostra informativa sulla privacy
ok
The Intruder News