剣 KENSAI
← All posts · security · 2026-02-02 · 4 min

Impennata Ransomware VoidLock: 47 Vittime Questa Settimana

5 min di lettura
URGENZA CRITICA

Sintesi Esecutiva

Gli attacchi ransomware aumentano a livello globale mentre il successore di BlackMatter "VoidLock" rivendica 47 nuove vittime solo questa settimana. Una vulnerabilità critica in Veeam Backup & Replication è attivamente sfruttata dagli operatori ransomware. Nel frattempo, LockBit 4.0 introduce bot di negoziazione basati sull'IA per fare pressione sulle vittime.

⚡ In breve: Verifichi l'integrità dei Suoi backup e applichi immediatamente le patch ai sistemi Veeam.

💀
Critico

Campagna Ransomware VoidLock Contro Sanità e Finanza

Perché È Importante

VoidLock, una sofisticata operazione ransomware-as-a-service (RaaS) emersa dai resti di BlackMatter, ha lanciato attacchi coordinati contro 47 organizzazioni in 12 paesi. Il gruppo impiega tattiche di doppia estorsione e ha una scadenza di pagamento di 72 ore prima della pubblicazione dei dati.

Impatto Descrizione
Perdita Dati Crittografia completa dei sistemi di produzione e backup
Violazione Dati Esfiltrazione di 2-5TB di dati sensibili per vittima
Downtime Media di 21 giorni per il ripristino completo
Costo Richieste di riscatto in media di 4,2M USD

Come Proteggersi — Azioni da Intraprendere

  • Verifichi immediatamente l'integrità dei backup air-gapped
  • Abiliti MFA su tutte le console di gestione backup
  • Riveda e limiti l'accesso RDP in tutti gli ambienti
  • Implementi EDR con regole di rilevamento specifiche per ransomware
  • Conduca un'esercitazione tabletop per la risposta al ransomware
🔴
CVE Critico

CVE-2026-21847: RCE Critico Veeam Backup

Perché È Importante

Una vulnerabilità critica di esecuzione remota del codice non autenticata in Veeam Backup & Replication (versioni 11.x fino alla 12.2) consente agli aggressori di ottenere accesso a livello SYSTEM. I gruppi ransomware stanno attivamente sfruttando questa vulnerabilità per distruggere i backup prima di implementare la crittografia.

Scenario Peggiore

💾

Compromissione Backup

Compromissione completa dell'infrastruttura di backup, senza opzioni di ripristino.

🔄

Movimento Laterale

Pivot verso i sistemi di produzione tramite credenziali dell'agente backup memorizzate in Veeam.

🎯

Ripristino Impossibile

Perdita della capacità di ripristino durante un attacco ransomware — proprio quando serve di più.

Come Proteggersi — Azioni da Intraprendere

  • Aggiorni a Veeam 12.3 o applichi l'hotfix KB4521987
  • Isoli le reti di backup dalle VLAN di produzione
  • Ruoti tutte le credenziali degli account di servizio
  • Abiliti le funzionalità hardened repository di Veeam
🤖
Nuova Minaccia

LockBit 4.0 Introduce Tattiche di Negoziazione IA

Perché È Importante

Il nuovo sistema di negoziazione basato sull'IA di LockBit 4.0 analizza i dati finanziari delle vittime rubati per calcolare importi di riscatto "equi" e utilizza tattiche di pressione psicologica. I primi report suggeriscono che le vittime stiano pagando il 40% in più in media.

Come Proteggersi — Azioni da Intraprendere

  • Stabilisca un contratto di incident response con una società di negoziazione ransomware
  • Riveda le esclusioni della polizza cyber insurance
  • Implementi controlli rigorosi di data loss prevention (DLP)
  • Formi i dirigenti sui protocolli di comunicazione durante estorsioni
🐧
Alto

Akira Ransomware Si Espande su Linux/VMware

Perché È Importante

Il ransomware Akira ora prende di mira gli ambienti VMware ESXi 8.x con un crittografo Linux dedicato, capace di arrestare le VM prima della crittografia per il massimo impatto.

Come Proteggersi — Azioni da Intraprendere

  • Aggiorni ESXi alla versione 8.0 U3 o successiva
  • Disabiliti ESXi Shell e SSH quando non in uso
  • Implementi la modalità lockdown di vSphere
  • Monitorizza le chiamate API vSphere sospette