ILOBleed Rootkit si rivolge ai server Hewlett-Packard

Negli ultimi giorni del 2021, i ricercatori di malware hanno identificato un'altra minaccia per Windows. Tuttavia, sembra mancare di compatibilità e, invece, si rivolge a un particolare set di sistemi: i dispositivi HP che eseguono la tecnologia di gestione del server Integrated Lights-Out (iLO). Da qui il nome dell'impianto, iLOBleed Rootkit.

I rootkit sono un tipo di malware specializzato nel concedere ai propri operatori un accesso privilegiato a lungo termine al dispositivo compromesso. Oltre a ciò, sono estremamente difficili da identificare e rimuovere a causa della loro capacità di nascondere i loro componenti nel firmware, nei driver e persino nei componenti del sistema operativo. La situazione con iLOBleed Rootkit non è diversa: è in grado di dirottare il firmware Integrated Lights-Out nei dispositivi HP.

iLOBleed distribuisce i tergicristalli sui sistemi infetti

Spesso, il rootkit viene utilizzato per lo spionaggio, ma gli autori di iLOBleed Rootkit sembrano avere piani diversi. Sebbene l'impianto consenta loro di eseguire una vasta gamma di attività su server compromessi, i criminali scelgono di cancellare i dati delle loro vittime. Non è chiaro che tipo di wiper utilizzino e se si tratti di una famiglia di malware precedentemente nota o di uno script personalizzato. Indipendentemente dal loro approccio, è chiaro che iLOBleed Rootkit può effettuare un attacco devastante.

Le prime varianti di iLOBleed Rootkit sono state compilate nell'estate del 2020, ma da allora il payload ha subito aggiornamenti significativi. Non ci sono informazioni sul meccanismo di consegna utilizzato dai criminali e su come il rootkit viene installato sui server dell'azienda. Naturalmente, come misura preventiva, gli amministratori di rete dovrebbero migliorare la sicurezza dei sistemi.