NAKIVO > Blog

Attacchi ransomware ESXiArgs: rischi e protezione dei dati

Aggiornato: Gennaio 16, 2026

Written by: NAKIVO Team

Di solito, il ransomware attacca computer fisici e VM che funzionano con Windows e, meno spesso, con macOS e Linux. Purtroppo, i cybercriminali continuano a sviluppare nuove versioni di ransomware in grado di infettare altri sistemi operativi sfruttando vulnerabilità appena scoperte. Un esempio recente è stato l’attacco ransomware ESXi che ha colpito gli hypervisor VMware sfruttando le vulnerabilità ESXi, causando gravi interruzioni di servizio in organizzazioni di tutto il mondo.

Questo post del blog spiega quanto siano pericolosi gli attacchi ransomware, come il ransomware possa infettare un host ESXi e come proteggersi dal ransomware, compreso il ransomware ESXi Args.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

L’inizio di una campagna ransomware ESXi

I primi casi di attacchi ransomware ESXi sono stati registrati nell’ottobre 2022, quando VMware ha terminato il supporto generale per ESXi 6.5 e 6.7. Un numero elevato di host ESXi è stato infettato in Francia, Germania, Stati Uniti, Canada, Regno Unito e altri paesi. Nel febbraio 2023, c’erano più di 3.000 host ESXi infetti con dati crittografati e senza possibilità di ripristino dei dati. I nomi dei ransomware che hanno attaccato gli host ESXi sono ESXiArgs, Royal e Cl0p. Inoltre, sono apparse nuove famiglie di ransomware ESXi come RansomEXX, Lockbit, BlackBasta, Cheerscrypt, Hive, RedAlert/N13V e altre.

Gli host ESXi sono attraenti per gli aggressori perché la virtualizzazione dei server è diventata più popolare e molte organizzazioni utilizzano VM per i loro ambienti di produzione. Di conseguenza, i creatori di ransomware si sono concentrati sull’avvio di attacchi ransomware VMware ESXi nella speranza di ottenere enormi profitti. Infettare un host VMware ESXi consente agli hacker di crittografare/distruggere i dati di più VM residenti su quell’host. Questo approccio può essere più efficace rispetto all’infezione delle VM, che potrebbero eseguire sistemi operativi diversi. L’attacco ransomware ESXi Args è stato uno dei più grandi attacchi ransomware per server non Windows.

Quali versioni di ESXi sono vulnerabili al ransomware ESXi?

Il ransomware ESXi sfrutta diverse vulnerabilità, tra cui CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992 e CVE-2019-5544.

Il ransomware ESXi Args utilizza CVE-2021-21974 per infettare un host ESXi. Si tratta di una vulnerabilità rilevata nel 2021 che può verificarsi su host ESXi che non sono ancora stati aggiornati/non sono stati sottoposti a patch. Si tratta di una vulnerabilità di overflow dell’heap nel servizio OpenSLP eseguito su ESXi. Una patch per CVE-2021-21974 è stata pubblicata il 21 febbraio 2021.

Le seguenti versioni di ESXi sono vulnerabili a CVE-2021-21974:

  • ESXi 7.x precedente a ESXi70U1c-17325551
  • ESXi 6.7.x precedente a ESXi670-202102401-SG
  • ESXi 6.5.x precedente a ESXi650-202102101-SG

Perché c’erano così tanti server senza patch e perché erano accessibili da Internet? L’applicazione delle patch è obbligatoria per il server ESXi e, con un numero elevato di host, alcuni amministratori potrebbero non avere le risorse o il tempo per applicarle in tempo. Inoltre, le vulnerabilità ESXi non erano ampiamente sfruttate prima dell’attacco ransomware ESXi Args. Ciò ha creato l’illusione che i server ESXi senza patch non fossero una minaccia e le patch sono state applicate lentamente.

Anche i server ESXi in esecuzione presso le società di hosting sono stati infettati dal ransomware ESXi Args. I provider di hosting fornivano l’infrastruttura ai clienti, che installavano hypervisor ESXi per eseguire VM. Questi server ESXi erano esposti a Internet dai clienti, il che consentiva agli aggressori di accedervi. Gli aggressori volevano che la vittima pagasse circa 23.000 dollari in bitcoin.

Come funziona il ransomware ESXi?

I criminali informatici individuano gli host ESXi vulnerabili, in particolare quelli esposti a Internet. È stato verificato che il metodo di compromissione sfrutta una vulnerabilità OpenSLP, probabilmente CVE-2021-21974. La porta 427 (TCP/UDP) viene utilizzata per OpenSLP. I log indicano il coinvolgimento dell’utente dcui in questo processo di compromissione. Questa vulnerabilità ransomware ESXi consente agli aggressori di sfruttare codice arbitrario in remoto.

Il processo di crittografia utilizza una chiave pubblica distribuita dal malware, con l’ubicazione in /tmp/public.pem. Nello specifico, questo processo di crittografia è rivolto ai file delle VM, inclusi tipi di file come “.vmdk”, “.vmx”, “.vmxf”, “.vmsd”, “.vmsn”, “.vswp”, “.vmss”, “.nvram” e file con estensione “.vmem”. Si noti che “.vmdk” è un file descrittore di disco virtuale e “-flat.vmdk” è un file di disco virtuale contenitore contenente i dati della VM. Il ransomware ESXi Args crea un file “.args” per ogni file crittografato con metadati (probabilmente, i creatori del ransomware presumono che i file “.args” possano essere necessari per la decrittografia).

Di seguito è riportata la sequenza nei dettagli:

  1. Quando un server viene violato, i seguenti file vengono inseriti nella directory /tmp :
    • crittografia rappresenta il programma di crittografia eseguibile in formato ELF.
    • encrypt.sh funge da logica operativa per l’attacco. Si tratta di uno script shell che esegue varie azioni prima di avviare il programma di crittografia, come descritto di seguito.
    • public.pem è una chiave RSA pubblica utilizzata per crittografare la chiave responsabile della crittografia dei file.
    • motd è una richiesta di riscatto testuale che viene duplicata in /etc/motd, garantendone la visualizzazione al momento dell’accesso. Il file originale sul server verrà conservato come /etc/motd1.
    • index.html è una versione HTML della richiesta di riscatto progettata per sostituire la home page di VMware ESXi. Il file iniziale del server deve essere salvato come “index1.html” nella stessa directory.
  2. Il programma di crittografia viene avviato tramite uno script shell, che lo richiama con una serie di parametri della riga di comando. Questi parametri comprendono il file della chiave RSA pubblica, il file di destinazione per la crittografia, le sezioni di dati che devono rimanere inalterate, la dimensione del blocco di crittografia e la dimensione complessiva del file.

    Utilizzo: crittografia [] [] []

    Dove:

    • enc_step è il numero di MB da saltare durante la crittografia dei file
    • enc_size è il numero di MB nel blocco di crittografia
    • file_size è la dimensione del file in byte (per i file sparsi)
  3. L’avvio di questo crittografo avviene tramite lo script shell encrypt.sh , che funge da logica di base per l’attacco. Una volta avviato, lo script procede con le seguenti azioni, spiegate brevemente di seguito.
  4. Lo script ransomware ESXi esegue un comando per modificare i file di configurazione delle VM ESXi (.vmx) sostituendo le occorrenze di “.vmdk” e “.vswp” con “1.vmdk” e “1.vswp“, rispettivamente.
  5. Successivamente, lo script del ransomware termina forzatamente tutte le VM attualmente attive emettendo un comando “kill -9” per arrestare i processi contenenti la parola “vmx“.
  6. Il ransomware tenta di arrestare le VM terminando il processo VMX per sbloccare i file bloccati e modificarli. Tuttavia, questa funzione non funziona sempre come previsto, con il risultato che alcuni file rimangono bloccati. Dopo la modifica dei file VM, le VM diventano inutilizzabili.
  7. Lo script procede al recupero di un elenco di volumi ESXi con il comando:

    esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}

    Con questo comando, il ransomware esegue la scansione di questi volumi alla ricerca di file con estensioni specifiche.

  8. Per ogni file rilevato, lo script genera un corrispondente [file_name].args file all’interno della stessa directory. Questo .args file contiene i parametri calcolati, compreso un passo (comunemente ‘1’) e la dimensione del file. Ad esempio, se il file è “VM01.vmx“, viene creato un file associato “VM01.vmx.args“. Il malware genera un file “argsfile” per memorizzare gli argomenti passati al binario crittografato, che include informazioni quali il numero di megabyte da saltare, la dimensione del blocco di crittografia e la dimensione del file.
  9. Lo script utilizza quindi l’eseguibile “crittografia” per la crittografia dei file in base ai parametri calcolati.
  10. Dopo la crittografia, lo script sostituisce il file ESXi “index.html” e il file “motd” del server con le suddette richieste di riscatto, come descritto in precedenza.

    Non vi sono prove di trasferimento dei dati all’esterno (esfiltrazione dei dati). In alcuni casi, la crittografia dei file potrebbe avere successo solo parzialmente, consentendo alla vittima di ripristinare potenzialmente alcuni dei dati.

    Una volta completata con successo l’infezione e la modifica/crittografia dei dati, su una pagina HTML veniva visualizzata una nota di ransomware come questa:

    Avviso di sicurezza! Abbiamo hackerato con successo la tua azienda.

    Invia il denaro entro 3 giorni, altrimenti renderemo pubblici alcuni dati e aumenteremo il prezzo.”

  11. Successivamente, lo script esegue attività di pulizia, tra cui l’eliminazione dei log e la rimozione di una backdoor Python con la sua ubicazione in /store/packages/vmtools.py. Elimina inoltre righe specifiche da determinati file:
    • /bin/hostd-probe.sh
    • /var/spool/cron/crontabs/root
    • /etc/rc.local.d/local.sh
    • /etc/vmware/rhttpproxy/endpoints.conf

    Viene emessa una nota critica che esorta gli amministratori a verificare se il file “vmtools.py” è presente sull’Host VMware ESXi. Se trovato, se ne consiglia la rimozione immediata.

  12. Infine, lo script esegue “/sbin/auto-backup.sh” per aggiornare la configurazione salvata nel file “/bootbank/state.tgz” e attiva SSH.

Inoltre, è emerso che questa vulnerabilità, insieme ad altre vulnerabilità in ESXi, viene attivamente sfruttata da gruppi di ransomware oltre a ESXiArgs.

NOTA: Il comportamento del ransomware VMware ESXi può cambiare con le versioni aggiornate del ransomware e le nuove versioni rilasciate.

Come recuperare i dati dopo l’attacco del ransomware ESXi Args

Non ci sono bug nel meccanismo di crittografia che consentano di effettuare la decrittografia dei file crittografati. Tuttavia, l’Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti (CISA) ha creato uno script che può aiutare a ripristinare le VM. La cosa positiva è che i file delle VM, compreso il descrittore del disco virtuale (.vmdk), sono crittografati, ma il file -flat.vmdk (dove sono memorizzati i dati della VM) non lo è. Ciò rende possibile il ripristino della VM.

CISA ha introdotto uno script di ripristino progettato per aiutare le organizzazioni colpite dal ransomware ESXi Args. Questo ransomware prende di mira specificamente i server ESXi, crittografando i loro file di configurazione e rendendo potenzialmente inoperanti le VM. Sebbene lo strumento sia stato sviluppato in collaborazione con VMware, non è direttamente supportato da VMware. Se i clienti riscontrano problemi durante l’utilizzo di questo strumento, sono invitati a segnalarli su GitHub a questo indirizzo: https://github.com/cisagov/ESXiArgs-Ripristina/issues.

CISA si impegna ad affrontare e risolvere tempestivamente i problemi. Per ulteriori dettagli sull’utilizzo dello script, fare riferimento a questo link.

È inoltre possibile scaricare un documento PDF con le istruzioni.

Se si riscontrano segni che indicano che un host ESXi è stato infettato dal ransomware ESXi, prendere in considerazione le seguenti misure:

  • Scollegare l’host ESXi infetto dalla rete.
  • Non pagare il riscatto. Pagare il riscatto premia i criminali informatici e li incentiva a creare altro ransomware per ottenere più denaro. Se paghi il riscatto, non vi è alcuna garanzia che i file danneggiati dal ransomware VMware ESXi vengano ripristinati.
  • Segnalate l’attacco ransomware. Segnalare il ransomware è importante perché consente una risposta rapida, la conformità legale, la protezione dei dati, la fiducia, la mitigazione delle minacce e la difesa collettiva contro gli attacchi informatici. Segnalare un attacco ransomware è una parte fondamentale della gestione degli incidenti di sicurezza informatica. Non solo aiuta le singole organizzazioni a ripristinare la situazione dopo gli attacchi, ma contribuisce anche alla sicurezza e alla resilienza complessive dell’ecosistema digitale.
  • Verificare se sono disponibili strumenti di ripristino o di decrittografia per la versione corrente del ransomware.
  • Se non sono disponibili strumenti di decrittografia, ripristina i dati da un backup (per utilizzare questo metodo è necessario disporre di un backup creato prima dell’attacco ransomware). A volte può essere più efficace ripristinare le VM da un backup. Considerare una nuova installazione di ESXi e copiare le VM ripristinate su quel nuovo host ESXi per assicurarsi che non vi siano tracce di infezione da ransomware sull’host in cui sono collocate le VM ripristinate.

Come proteggere ESXi dal ransomware

Seguire le raccomandazioni riportate di seguito per proteggere ESXi dal ransomware:

  • Applicate le patch agli host ESXi che presentano vulnerabilità quali CVE-2021-21974, CVE-2022-31699, CVE-2021-21995, CVE-2020-3992 e CVE-2019-5544. Se la versione di ESXi non è più supportata, valutare la possibilità di eseguire l’aggiornamento a una versione principale supportata. Se non è possibile aggiornare ESXi, disabilitare il servizio OpenSLP e disabilitare il servizio OpenSLP (Service Location Protocol) su ESXi. Disabilitare un servizio che presenta una vulnerabilità per la versione ESXi interessata può essere d’aiuto.
  • Installa regolarmente le patch di sicurezza (aggiornamenti) sull’host ESXi per proteggerti dalle minacce più recenti.
  • Non esporre gli host ESXi a Internet. Se il processo di lavoro richiede che gli host ESXi siano accessibili da Internet da parte di lavoratori e partner, configurare un server VPN e un firewall. Configurare il firewall in modo da consentire l’accesso solo da indirizzi IP affidabili. In questo caso, la connessione alla rete tramite VPN per accedere agli host ESXi è sicura.
  • Disabilitare l’accesso SSH se non è necessario o impostare dei timeout.
  • Disabilitare SMB v1.0 e altre versioni obsolete dei protocolli, soprattutto se non vengono utilizzati.
  • Utilizzare la segmentazione di rete per le reti, compresa la rete di gestione ESXi .
  • Utilizzare password complesse con almeno 8 caratteri, inclusi lettere minuscole, maiuscole, cifre e caratteri speciali.
  • Installare e configurare il monitoraggio dell’infrastruttura per monitorare il traffico di rete e i carichi del server. Il monitoraggio consente di rilevare tempestivamente attività sospette o dannose.
  • Istruire gli utenti sulla protezione dai ransomware e assicurarsi che sappiano cosa fare se sospettano che si sia verificato un attacco o un tentativo di attacco ransomware.
  • Configurare la protezione anti-malware delle e-mail poiché l’invio di link o file dannosi tramite e-mail è un metodo molto diffuso per infettare i computer con ransomware. Disabilita i collegamenti ipertestuali attivi nei messaggi e-mail.
  • Installa un antivirus sui computer e sui server degli utenti. Aggiorna regolarmente i database antivirus del software antivirus.
  • Eseguire regolarmente il backup delle VM e utilizzare la strategia di backup 3-2-1 . Non dimenticare di eseguire un backup immutabile o un backup con protezione air-gap per garantire che questo backup non sia compromesso in caso di attacco ransomware. Avere un backup ESXi e backup vCenter può aiutare a risparmiare tempo quando si tratta di ripristinare dati e carichi di lavoro.
  • Preparare un piano di risposta agli incidenti e informare tutti su cosa fare in caso di attacco ransomware ESXi.
  • Creare un piano di ripristino di emergenza per garantire il ripristino dei dati e il ripristino dei carichi di lavoro in diversi scenari. I test di backup e i test di ripristino di emergenza sono importanti.

Conclusione

Il ransomware ESXi può essere devastante perché è possibile perdere molte VM anche se un solo host ESXi viene infettato. Il backup dei dati è la strategia più efficace per evitare la perdita di dati in caso di attacchi ransomware. Seguite i consigli su come proteggere ESXi dal ransomware riportati sopra in questo post del blog. Utilizzate NAKIVO Backup & Replication per eseguire il backup delle VM residenti su Host VMware ESXi in repository immutabili. In questo modo potrete utilizzare questi backup resistenti al ransomware per un rapido ripristino di VM complete o dati applicativi.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Le persone leggono anche

Picture
Come ripristinare le cassette postali inattive in Office 365: una guida passo passo
Picture
VMware Remote Console: come installarla su Windows e Linux
Picture
Protezione dei backup di Microsoft 365 con la crittografia cloud