Attacco hacker in tutto il mondo, anche in Italia: “Colpiti migliaia di server, si tratta di un ransomware”
È in corso in questi giorni un "massiccio attacco tramite un ransomware". A rilevarlo è stato il Computer Security Incident Response Team dell'Agenzia per la cybersicurezza nazionale (Acn). Si tratta del team che si occupa di monitorare gli incidenti che riguardano la cybersecurity a livello nazionale. La portata dell'attacco è vasta, la stessa Acn afferma di aver censito "diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi".
Dalle prime informazioni in possesso sappiamo che il ransomware con cui sono stati portati avanti gli attacchi era già in circolazione da tempo. Il consiglio di Acn al momento è quello di procedere subito con l'aggiornamento di tutti i sistemi: "Rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi". Al momento non sono ancora noti i dati dell'attacco.
Cos'è e come funziona un ransomware
I ransomware sono dei malware sempre più usati negli attacchi hacker. Funzionano in due tempi. Una voltra entrati nel sistema che vogliono colpire prima chiudono l'accesso ai dati ai loro proprietari attraverso sistemi di cifratura e poi chiedono un riscatto per restituire le chiavi di accesso. Il loro nome deriva infatti dalla fusione tra ransom, riscatto, e malware. Di solito i cyber criminali che usano questo tipo di virus eseguono comunque un backup dei dati per poi rivenderli sul dark web.
Cosa ha colpito l'attacco
L'attacco, spiega l'Acn, ha preso di mira i server VMware ESXi. La vulnerabilità sfruttata dagli hacker è già stata corretta nel passato dal produttore, ma, evidenza l'agenzia, "non tutti coloro che usano i sistemi attualmente interessati l'hanno risolta" e i server presi di mira, se privi delle correzioni adeguate, "possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend".
VMware è una società di informatica statunitense che ha sede a Palo Alto, in California. VMware è specializzata nello sviluppo di software in grado di creare virtual machine, in maniera molto generica si può pensare a queste virtual machine come a dei pc virtuali che invece di funzionare con delle componenti fisiche, come una memoria di storage, una ram, un processore o una scheda video, si collegano in remoto a dei server che gli danno in prestito tutte le prestazioni fornite da queste componenti.
Migliaia di server compromessi in tutto il mondo
Nel resto del mondo questa ondata di attacchi diretti verso i server di VMware era già stata registrata nei giorni scorsi. Il 4 febbraio il portale HackerNews, specializzato in cybesecurity, ha spiegato che il Computer Emergency Response Team (Cert) della Francia aveva già diramato diversi avvisi che riguardavano proprio questo tipo di vulnerabilità. Nello specifico il Cert francese aveva segnalato anche che la falla nel software da cui potevano accedere gli hacker era già stata risolta dall'azienda proprietaria con una patch di sicurezza: "Queste campagne di attacco sembrano sfruttare CVE-2021-21974, per il quale è disponibile una patch dal 23 febbraio 2021".
Secondo Acn il problema ora riguarda "qualche migliaio i server" in tutto il mondo, soprattutto Francia, Italia e Finlandia. Oltre ai Paesi europei si registrano tracce di attacchi in Canada e negli Stati Uniti. In Italia sono decine le realtà che hanno riscontrato l'attività malevola nei loro confronti ma secondo gli analisti sono destinate ad aumentare. Lo sfruttamento della vulnerabilità, spiega ancora Acn "consente in una fase successiva di portare attacchi ransomware che cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione".
La richiesta di riscatto
Il portale specializzato in cybersecurity Red Hot Cyber ha pubblicato uno screenshot riconducibile alla richiesta di riscatto che arriva dopo uno di questi attacchi ransomware. Al momento sembra che la richiesta per sbloccare l'accesso dei dati sia di due Bitcoin. Tradotto in euro, con il cambio attuale, parliamo di oltre 42.000 euro.
La nota del governo: "Convocata una riunione a Palazzo Chigi"
Anche Palazzo Chigi interviene su questa ondata di attacchi ransomware che hanno colpito anche l'Italia. In serata la sede dell'esecutivo ha pubblicato una nota con scritto: "Il Governo segue con attenzione, aggiornato dall'Agenzia per la Cybersicurezza Nazionale, gli sviluppi dell'attacco culminato oggi tramite un ransomware già in circolazione nei server VMware ESXi". L'incontro è previsto per le 9.00 del 6 febbraio, saranno presenti il l sottosegretario Alfredo Mantovano, il direttore di Acn, Roberto Baldoni, e la direttrice del Dipartimento informazione e sicurezza, Elisabetta Belloni.
L'attacco hacker ai sistemi di Acea
Il 2 febbraio Acea ha registrato un attacco hacker che ha provocato il blocco di una serie di piattaforme informatiche dedicate agli utenti. Acea è un’azienda pubblica che si occupa della gestione della raccolta dei rifiuti, della rete idrica e della distribuzione di energia elettrica. Il suo ruolo è strategico, visto che ha un bacino da nove milioni di utenti che si estende a partire da Roma.
Dalle prime ricostruzioni sembra che anche qui si sia trattato di un attacco ransomware. In questo caso il mandante è più chiaro, visto che sembra essere stato organizzato dai cyber criminali di Black Basta. Il servizio è tornato attivo in modo stabile solo il 5 febbraio e, a giudicare dalla tipologia di attacco, non sembra collegato con quelli rilevati dall'Agenzia per la cybersicurezza nazionale. Per questa ondata di attacchi sembra difficile, al momento, pensare a una regia unica.
A partire dalla mattina del 5 febbraio anche la rete Tim ha registrato diversi problemi in tutta Italia. Anche in questo caso però non ci sarebbe nessuna connessione con questa tornata di attacchi ransomware.
Ha collaborato a questo articolo Valerio Berra