I ricercatori di Fortinet hanno scoperto che una vecchia vulnerabilità, presente in cinque prodotti VMware e risolta ad aprile, è stata sfruttata per effettuare vari attacchi DDoS con la botnet Mirai, il ransomware RAR1Ransom e il cryptominer GuardMiner. Le principali soluzioni di sicurezza rilevano e bloccano queste minacce.
Aggiornare subito per evitare il pericolo
La vulnerabilità CVE-2022-22954, che permetteva di eseguire codice remoto attraverso una “server-side template injection”, era stato già sfruttato per installare backdoor. Nonostante la patch sia disponibile da oltre sei mesi, molti utenti non hanno ancora aggiornato i software. I cybercriminali hanno quindi approfittato della situazione per mettere a segno vari tipi di attacchi.
Gli esperti di Fortinet hanno individuato una variante della botnet Mirai che qualcuno ha utilizzato per scoprire le password di alcuni dispositivi IoT tramite forza bruta ed eseguire attacchi DDoS. In un’altra campagna sono stati installati sul computer due script PowerShell e Bash che scaricano sette payload dal server remoto.
Alcuni di essi installano il tool RAR1Ransom che utilizza WinRAR per cifrare diversi file (in pratica un ransomware a basso costo). I cybercriminali hanno chiesto il pagamento di 2 Monero (circa 147 euro al cambio attuale) per fornire la password. Altri file permettono invece di scaricare e configurare GuardMiner, un cryptominer di Monero (compatibile anche con Linux). L’indirizzo del wallet usato per ricevere le monete digitali è lo stesso indicato nelle istruzioni per pagare il riscatto di RAR1Ransom.
Come detto, la vulnerabilità è stata risolta da VMware ad aprile. È quindi sufficiente installare gli ultimi aggiornamenti dei software interessati.