Gravi vulnerabilità da gestire il prima possibile perché impattano servizi e dati aziendali spesso critici.
La versione per Linux del nuovo ransomware BlackMatter prende di mira i server VMware ESXi. Sembra che BlackMatter derivi da DarkSide, avendo in comune ad esempio la parte di algoritmo di encryption.
La tecnica è quella di spegnere le macchine virtuali prima di cifrare i dischi, per evitare possibili corruzioni dei file a runtime.
Bisogna tenere sotto stretto monitoraggio le piattaforme di virtualizzazione perché costituiscono un punto di attacco molto allettante: corrompendo un solo sistema si arriva a bloccare decine e decine di server in un colpo solo.
Alla conferenza sulla sicurezza Black Hat USA, alcuni ricercatori hanno rivelato di aver scoperto 14 famiglie di malware, 10 delle quali documentate, appositamente progettati per colpire i web server Microsoft IIS. Sono per la maggior parte malware lato server e le loro principali attività sono intercettare tutte le comunicazioni al server e influenzare il modo in cui le richieste vengono elaborate.
Si consiglia di:
- utilizzare account dedicati con password univoche e complesse per scopi amministrativi
- installare moduli IIS nativi solo da fonti attendibili
- ridurre la superficie di attacco limitando i servizi esposti a Internet (hardening)
- utilizzare un firewall specifico per applicazioni web
- tenere sempre sotto monitoraggio quanto accade per aumentare la prevenzione e migliorare il contenimento degli attacchi