Tutto quello che devi sapere su Sorry, il ransomware che non è poi così dispiaciuto di ricattarti

iStock

• Una grave vulnerabilità di cPanel e WHM, identificata come CVE-2026-41940, permette il bypass dell'autenticazione e l'accesso amministrativo ai server.
• Gli autori sfruttano la falla per installare il ransomware Sorry, che cifra file Linux con ChaCha20 e aggiunge l'estensione .sorry lasciando richieste di riscatto.
• cPanel ha rilasciato patch di emergenza; gli amministratori devono applicarle subito, controllare indicatori di compromissione e ripristinare da backup puliti.

Una grave vulnerabilità di cPanel e WHM sta alimentando una nuova ondata di attacchi contro server e siti web esposti online. La falla, identificata come CVE-2026-41940, permette di aggirare i sistemi di autenticazione e ottenere accesso amministrativo, aprendo la strada alla compromissione completa dei sistemi colpiti.

• Come funziona l’attacco Sorry contro cPanel
• Una campagna già molto estesa
• Cosa devono fare gli amministratori per evitare Sorry?

Come funziona l’attacco Sorry contro cPanel

Secondo le informazioni disponibili, i malintenzionati stanno sfruttando la vulnerabilità per accedere ai server senza dover utilizzare credenziali valide. Una volta entrati, possono modificare configurazioni, creare account non autorizzati, installare malware e distribuire il ransomware Sorry.

Il malware è un encryptor per Linux sviluppato in Go (un linguaggio di programmazione utilizzato soprattutto per software server-side). Dopo l’esecuzione, cifra i file presenti sul server aggiungendo l’estensione “.sorry”. In ogni directory viene inoltre lasciata una nota di riscatto chiamata README.md, con istruzioni che invitano la vittima a contattare gli aggressori tramite Tox, una piattaforma di messaggistica decentralizzata e cifrata utilizzata per chat e chiamate senza passare da server centrali tradizionali.

Per la cifratura dei dati viene utilizzato l’algoritmo ChaCha20, mentre vengono protetti attraverso una chiave pubblica RSA-2048 incorporata nel malware. In assenza della corrispondente chiave privata, il recupero dei file non risulta praticabile.

Una campagna già molto estesa

La portata della campagna appare significativa. Shadowserver ha rilevato almeno 44.000 indirizzi IP legati a cPanel coinvolti in attività di exploit o brute force. Censys ha invece individuato migliaia di host con directory aperte contenenti file terminati in “.sorry”, molti dei quali associati a installazioni cPanel o WHM.

In diversi casi gli attacchi non si sono limitati alla sola cifratura dei dati. Sono stati segnalati backup eliminati e server trasformati in strumenti per colpire altri sistemi. Una testimonianza pubblicata online descrive una compromissione avvenuta nell’arco di pochi minuti, con la creazione di account root non autorizzati, l’installazione di chiavi SSH malevole, il furto di credenziali e la distribuzione del malware Mirai nella variante nuclear.x86.

La situazione è particolarmente delicata perché l’autenticazione a due fattori non basta a proteggere i sistemi vulnerabili. La falla colpisce infatti il flusso di login e può consentire l’accesso anche in assenza di password valide.

Cosa devono fare gli amministratori per evitare Sorry?

cPanel ha già rilasciato aggiornamenti di emergenza per correggere la vulnerabilità. Gli amministratori dovrebbero verificare immediatamente la versione installata e applicare le patch disponibili. Anche chi ha già effettuato controlli con lo script di rilevamento dovrebbe ripetere la procedura, perché cPanel ha aggiornato lo strumento dopo alcuni falsi positivi emersi nelle prime versioni.

Tra gli elementi da controllare figurano sessioni sospette, nuovi account amministrativi, chiavi SSH sconosciute, cron job anomali e token API ancora attivi. In presenza di indicatori di compromissione, la soluzione più sicura resta la ricostruzione completa del server a partire da backup puliti, accompagnata dalla rotazione di password, chiavi SSH, token API e credenziali dei servizi ospitati.

Sorry non sarebbe collegato alla vecchia campagna del 2018 che utilizzava la stessa estensione. Questa nuova ondata si inserisce infatti in un contesto differente e sfrutta una vulnerabilità critica ancora al centro di attacchi attivi. Per chi gestisce hosting o infrastrutture basate su cPanel, intervenire rapidamente è fondamentale per ridurre il rischio di compromissione.