Gli attacchi ransomware contro gli hypervisor sono aumentati in modo esponenziale nella seconda metà del 2024, passando dal tre per cento dei casi registrati nei primi sei mesi dell'anno al 25 per cento nel periodo successivo. A rivelarlo è un'analisi della società di sicurezza informatica Huntress, che identifica nel gruppo cybercriminale Akira il principale responsabile di questa escalation. La strategia degli attaccanti punta deliberatamente alle infrastrutture di virtualizzazione per aggirare i sistemi di protezione tradizionali installati su endpoint e reti aziendali.
Il fenomeno evidenzia una vulnerabilità strutturale dei sistemi di virtualizzazione che gestiscono data center aziendali e infrastrutture cloud. Gli hypervisor rappresentano infatti un punto critico dell'architettura IT moderna, controllando l'esecuzione di tutte le macchine virtuali e i network associati. La loro compromissione consente ai criminali informatici di amplificare drasticamente l'impatto degli attacchi, potenzialmente paralizzando intere infrastrutture con una singola intrusione.
Secondo l'analisi condotta dagli esperti di Huntress Anna Pham, Ben Bernstein e Dray Agha, gli attaccanti sfruttano una debolezza intrinseca di queste piattaforme. I sistemi operativi proprietari o ristretti su cui girano gli hypervisor spesso impediscono l'installazione di soluzioni di sicurezza avanzate come i sistemi EDR (Endpoint Detection and Response), creando un punto cieco nelle difese aziendali. Una situazione che ricalca quanto già osservato con gli attacchi ai dispositivi VPN negli anni scorsi.
Le tecniche di attacco documentate mostrano una crescente sofisticazione operativa. In diversi casi, i gruppi ransomware hanno distribuito i payload malevoli direttamente attraverso gli hypervisor, bypassando completamente le protezioni endpoint tradizionali. Alcuni attaccanti hanno utilizzato strumenti nativi come OpenSSL per criptare i volumi delle macchine virtuali, evitando la necessità di caricare binari ransomware personalizzati che potrebbero essere rilevati dai sistemi di sicurezza.
Il modus operandi tipico prevede una fase iniziale di compromissione della rete aziendale, seguita dal furto delle credenziali di autenticazione necessarie per accedere agli hypervisor. I ricercatori hanno documentato l'abuso delle utility di gestione Hyper-V per modificare le impostazioni delle macchine virtuali e compromettere le funzionalità di sicurezza, inclusa la disattivazione delle difese endpoint, la manomissione degli switch virtuali e la preparazione delle VM per il deployment del ransomware su larga scala.
Il problema assume dimensioni particolarmente critiche considerando l'architettura dei cloud hyperscale, dove gli hypervisor costituiscono il principale meccanismo di isolamento tra i virtual machine di tenant diversi. Uno scenario di VM escape, in cui un attacco riuscito a una macchina virtuale guest consente il takeover dell'host e del suo hypervisor, potrebbe avere conseguenze devastanti per l'intero ecosistema cloud.
Huntress raccomanda l'adozione di contromisure specifiche che vanno oltre le best practice tradizionali. Oltre all'autenticazione multifattoriale, password complesse e aggiornamenti tempestivi delle patch di sicurezza, gli amministratori dovrebbero implementare politiche di allowlist che limitino l'esecuzione ai soli binari autorizzati sugli host. L'integrazione dei log degli hypervisor nei sistemi SIEM (Security Information and Event Management) rappresenta un altro tassello fondamentale per il monitoraggio delle anomalie.
L'escalation degli attacchi agli hypervisor solleva interrogativi sulla sostenibilità dell'attuale modello di sicurezza delle infrastrutture virtualizzate. Con la crescente dipendenza delle organizzazioni da ambienti cloud e data center virtualizzati, emerge la necessità di ripensare l'architettura di sicurezza includendo layer di protezione nativi a livello di hypervisor, attualmente trascurati dalla maggior parte delle soluzioni commerciali. La sfida per vendor e aziende sarà bilanciare requisiti di performance con esigenze di sicurezza in un contesto dove i cybercriminali hanno già identificato e stanno sfruttando sistematicamente le debolezze strutturali del sistema.
