Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 4 Maggio 2023 07:32
Dallo scorso anno, diversi ransomware stanno prendendo di mira VMware ESXi e si sono moltiplicati senza sosta. Il supporto per questa piattaforma è stato inizialmente implementato in BlackCat/ALPHV, e poi è apparso in altri malware di questa classe, inclusi i famigerati Black Basta e LockBit.
Il malware multipiattaforma in grado di attaccare ESXi (RedAlert, Luna, GwisinLocker) stanno sempre più guadagnando popolarità. Quest’anno, Royal è stato aggiornato per lo stesso scopo e sono emersi anche malware specializzati come Nevada ed ESXiArgs.
I ricercatori di Uptycs hanno scoperto un malware in grado di crittografare i server Linux. L’analisi di un campione di un eseguibile dannoso ha confermato che il ransomware prende di mira gli host ESXi installati sui server Linux.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il vettore di accesso iniziale non è ancora chiaro. Ma il gruppo criminale chismato RTM è noto alla comunità di sicurezza informatica dal 2015. Di recente, il team ha lanciato il suo servizio RaaS (Ransomware-as-a-Service, ransomware as a service) basato su malware per Windows. Per restare nell’ombra, gli operatori hanno introdotto regole molto ferree.
Agli affiliati è vietato attaccare strutture sanitarie, forze dell’ordine, aziende note, nonché effettuare attacchi a strutture di infrastrutture critiche (CII) e nei paesi dell’ex CSI. I membri del programma di affiliazione non devono divulgare i codici delle loro build ed essere inattivi per più di 10 giorni, altrimenti il loro account verrà cancellato senza preavviso.
Il ransomware stesso cerca anche di contrastare l’analisi e il rilevamento. Il codice eseguibile viene compilato staticamente, le informazioni di debug vengono cancellate; dopo aver completato l’attività principale, il malware ripulisce tutti i registri e si autoelimina.
RTM Locker viene eseguito su host ESXi con due comandi. Uno ti consente di elencare tutte le macchine virtuali in esecuzione, l’altro consente di ucciderle in modo da poter procedere alla crittografia senza interferenze.
L’elenco delle estensioni di file da elaborare è costituito da .log, .vmdk, .vmem, .vswp e .vmsn. Il codificatore, secondo gli analisti, è stato creato sulla base del codice Babuk trapelato sul Web.
L’estensione .RTM viene aggiunta al nome dei file crittografati e viene creata una nota per la vittima in tutte le cartelle. I criminali informatici dovranno essere contattati tramite il messenger TOX entro 2gg, altrimenti i dati verranno pubblicati nel darkweb.
RedazioneA partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...
Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...
Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-...
A seguito dell’operazione Endgame, le forze dell’ordine hanno identificato i clienti della botnet Smokeloader e hanno segnalato l’arresto di almeno cinque persone. Ricordiamo che&...
