L'infrastruttura virtuale delle aziende è finita nel mirino di una nuova ondata di attacchi ransomware che sta cambiando radicalmente le strategie dei cybercriminali. Gli esperti di sicurezza informatica hanno registrato un'impennata allarmante di offensive mirate direttamente agli hypervisor, i sistemi che gestiscono e controllano le macchine virtuali all'interno delle reti aziendali. Si tratta di un cambio di paradigma che preoccupa non poco i professionisti della cybersecurity, poiché colpire questi sistemi significa ottenere il controllo su interi ecosistemi digitali con un solo colpo.
I dati raccolti da Huntress, azienda specializzata in software di sicurezza, parlano chiaro: nel primo semestre dell'anno gli attacchi ransomware agli hypervisor rappresentavano appena il tre percento del totale. Nella seconda metà del 2024, questa percentuale è schizzata al 25 percento, segnando un aumento quasi decuplicato in pochi mesi. Un balzo che non può essere ignorato e che indica una precisa strategia criminale in evoluzione.
La gang Akira alla guida dell'offensiva
Dietro questa escalation c'è principalmente il gruppo Akira, una delle organizzazioni criminali più attive nel panorama del ransomware. Secondo gli analisti Anna Pham, Ben Bernstein e Dray Agha di Huntress, questi criminali informatici hanno scelto gli hypervisor come obiettivo privilegiato per una ragione strategica: aggirare i sistemi di sicurezza tradizionali installati sugli endpoint e sulle reti. Attaccando direttamente l'infrastruttura di virtualizzazione, riescono a bypassare le difese che proteggono i singoli dispositivi.
La logica è spietata ma efficace: compromettere l'hypervisor significa controllare tutte le macchine virtuali che gestisce, moltiplicando esponenzialmente l'impatto dell'intrusione. I ricercatori sottolineano come questa tendenza evidenzi un "punto cieco" nelle difese aziendali, simile a quanto già osservato in passato con gli attacchi ai sistemi VPN.
Un tallone d'Achille poco difeso
Il motivo per cui gli hypervisor sono diventati bersagli così appetibili risiede nella loro particolare natura. Questi sistemi operano spesso su piattaforme proprietarie o con accesso limitato, il che impedisce l'installazione di strumenti di sicurezza critici come i software EDR (Endpoint Detection and Response) utilizzati comunemente per proteggere workstation e server tradizionali. Questa caratteristica crea una zona vulnerabile che i criminali informatici stanno imparando a sfruttare sistematicamente.
Gli esperti di Huntress hanno documentato casi in cui gli operatori di ransomware distribuiscono i loro payload malevoli direttamente attraverso gli hypervisor, evitando completamente le protezioni tradizionali degli endpoint. In alcuni episodi particolarmente sofisticati, gli attaccanti hanno utilizzato strumenti già presenti nel sistema, come OpenSSL, per criptare i volumi delle macchine virtuali senza nemmeno dover caricare binari ransomware personalizzati.
Le tecniche d'attacco più diffuse
Il modus operandi seguito dai cybercriminali segue uno schema ormai consolidato. Dopo aver compromesso una rete e trafugato le credenziali di autenticazione, gli attaccanti puntano direttamente agli hypervisor. Nel caso di Hyper-V di Microsoft, i ricercatori hanno osservato l'utilizzo improprio delle utility di gestione native per modificare le impostazioni delle macchine virtuali e minare le funzionalità di sicurezza.
Tra le attività malevole documentate figurano la disabilitazione delle difese sugli endpoint, la manomissione degli switch virtuali e la preparazione delle VM per distribuire il ransomware su larga scala. Si tratta di operazioni che richiedono competenze tecniche avanzate ma che, una volta portate a termine, permettono ai criminali di criptare simultaneamente decine o centinaia di sistemi virtualizzati.
Raccomandazioni per difendersi
Di fronte a questa minaccia crescente, gli esperti di Huntress hanno stilato una serie di raccomandazioni che vanno oltre le tradizionali best practice di sicurezza. Oltre all'utilizzo dell'autenticazione a più fattori e di password complesse, insieme all'applicazione tempestiva delle patch di sicurezza, suggeriscono di adottare difese specifiche per gli hypervisor. Una di queste prevede la configurazione di impostazioni che consentano l'esecuzione solo di binari presenti in una lista autorizzata.
Un altro aspetto cruciale riguarda l'integrazione dei log degli hypervisor nei sistemi SIEM (Security Information and Event Management), permettendo così un'analisi approfondita degli eventi e la rilevazione tempestiva di attività anomale. La posta in gioco è altissima: i professionisti della sicurezza informatica sanno da decenni che compromettere un hypervisor rappresenta lo scenario peggiore possibile, soprattutto considerando che tutti i cloud hyperscale si affidano proprio a questi sistemi per isolare le macchine virtuali dei diversi clienti.
La minaccia degli attacchi di tipo "VM escape", in cui un'aggressione a una macchina virtuale guest permette di prendere il controllo dell'host e del suo hypervisor, resta uno degli incubi ricorrenti degli esperti di sicurezza. Le conseguenze di un simile scenario sarebbero devastanti per l'intera industria del cloud computing e per le migliaia di aziende che affidano i propri dati a queste infrastrutture.