skip to Main Content

Ucraina

Come e dove è nata l’aggressione hacker, tutti i dettagli

Attacco hacker, che cosa è successo (non solo in Italia). Fatti e approfondimenti

Un “massiccio attacco tramite un ransomware già in circolazione” è stato rilevato dal Computer security incident response team Italia dell’Agenzia per la cybersicurezza nazionale. I tecnici dell’Acn hanno già censito “diverse decisioni di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi”. In questo sono momento qualche migliaio i server compromessi in tutto il mondo, dai paesi europei come Francia – paese più colpito – Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti.

Ecco tutti i dettagli.

COSA DICE L’AGENZIA DI BALDONI SULL’ATTACCO HACKER

“Il Computer Security Incident Response Team Italia (Csirt-IT) dell’Agenzia per la Cybersicurezza Nazionale (ACN), ha rilevato un massiccio attacco” hacker “tramite ransomware già in circolazione che prende di mira i server VMware ESXi”.

Lo rende noto la stessa agenzia aggiungendo che l’attacco è in corso in tutto il mondo e riguarda “qualche migliaio di server compromessi” “dai paesi europei come Francia – paese più colpito – Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti”.

In Italia – spiega l’ACN – sono decine le realtà che hanno riscontrato l’attività malevola nei loro confronti ma secondo gli analisti sono destinate ad aumentare. Lo sfruttamento della vulnerabilità consente in una fase successiva di portare attacchi ransomware che, come è noto, cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione.

IN FRANCIA NASCE L’AGGRESSIONE

La vulnerabilità sfruttata dagli attaccanti per distribuire il ransomware è già stata corretta nel passato dal produttore, ma non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta. I server presi di mira, se privi delle patch, cioè delle “correzioni” adeguate, possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend. I primi ad accorgersene sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in Francia.

I ricercatori di sicurezza stanno segnalando una esplosione di compromissioni degli hypervisor VMware ESXi con oltre 500 macchine colpite dal ransomware questo fine settimana, con gli attacchi che sfruttano la CVE-2021-21974.

LA FRANCESE OVHCLOUD NELL’OCCHIO DEL CICLONE

Come pubblicato da The Stack, circa 20 macchine ESXi venivano colpite ogni ora, utilizzando i dati messi a disposizione da Shodan che mostravano che la maggior di queste macchine era ospitata da OVHcloud. Ma il raggio d’azione si sta espandendo rapidamente.

I clienti francesi sembravano inizialmente essere quelli più colpiti e il CERT-FR del paese è stato tra i primi a pubblicare un avviso.

La società francese OVHcloud ha dichiarato il 3 febbraio: “Un’ondata di attacchi sta attualmente prendendo di mira i server ESXi. Tuttavia, nessun servizio gestito da OVHcloud è interessato da questo attacco, poiché molti clienti utilizzano questo sistema operativo sui propri server, forniamo questo post come riferimento a supporto per aiutarli nella loro risoluzione”.

ATTACCO HACKER, CHE COSA STA SUCCEDENDO IN ITALIA

Successivamente l’ondata di attacchi si è sposta su altri paesi tra cui l’Italia.

L’autorità nazionale per la sicurezza informatica ribadisce nella nota “che è prioritario per chiunque chiudere le falle individuate e sviluppare un’adeguata strategia di protezione”. Per i tecnici dell’ACN, infatti, “siamo stati in grado di censire diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.

La vulnerabilità individuata dalle recenti analisi come CVE-2021-21974 (già sanata dal vendor nel febbraio 2021), riguarda i sistemi esposti su internet che offrono servizi di virtualizzazione basati sul prodotto VMWare ESXi, e ha un impatto elevato, stimato dalla comunità tecnica come “rischio alto/arancione” (70,25/100). E tuttavia non si esclude che anche altre vulnerabilità possono essere sfruttate da attori malevoli.

A questo riguardo, l’Agenzia per la Cybersicurezza Nazionale diretta da Roberto Baldoni, attraverso lo CSIRT Italia, ha pubblicato ieri uno specifico bollettino sul portale pubblico https://csirt.gov.it, che include anche le procedure per risolvere la vulnerabilità, ai quali i responsabili tecnici dei servizi IT pubblici e privati sono invitati a fare riferimento.

LA NOTA DI PALAZZO CHIGI

Palazzo Chigi ha comunicato che “nel corso delle prime attività ricognitive compiute da Acn, unitamente alla Polizia Postale, non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un ‘riscatto’”.

La nota aggiunge che “Il lavoro che ACN e Polizia postale stanno svolgendo in queste ore è anche quello di identificare tutti i soggetti potenzialmente vulnerabili, in modo da circoscrivere gli effetti negativi che potrebbero derivare non solo per i loro sistemi informatici, ma pure per la popolazione (si pensi alle ricadute relative al blocco del sistema di una ASL)”.

Inoltre, “Il Governo, dando seguito a quanto previsto dal DL n. 82/2021, adotterà tempestivamente un DPCM per raccordare il fondamentale lavoro di prevenzione delle Regioni con ACN”.

Nel contempo “la stessa Agenzia istituzionalizzerà un tavolo di interlocuzione periodica con tutte le strutture pubbliche e private che erogano servizi critici per la Nazione, a cominciare dai Ministeri e dagli istituti di credito e assicurativi” ha terminato Palazzo Chigi.

Back To Top