Del “massiccio attacco” hacker avvisato dall’Agenzia nazionale per la cybersicurezza (Acn) nazionale sarebbero 22, al momento, le vittime in Italia.
“Il Computer Security Incident Response Team Italia (Csirt-IT) dell’Acn ha rilevato un massiccio attacco” hacker “tramite ransomware già in circolazione che prende di mira i server VMware ESXi”. Lo ha reso noto domenica 5 nel pomeriggio la stessa agenzia italiana, aggiungendo che l’attacco è in corso in tutto il mondo e riguarda “qualche migliaio di server compromessi dai paesi europei come Francia – paese più colpito – Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti”.
Gli esperti dell’agenzia hanno definito il rischio “alto-arancione”. “Ma che si tratti di una cosa seria lo conferma il vertice convocato da palazzo Chigi per fare un primo bilancio dei danni provocati e mettere in campo le adeguate contromisure” scriveva ieri mattina l’Ansa.
Eppure sempre ieri esperti italiani di sicurezza informatica hanno ridimensionato la portata dell’attacco. “Nulla di nuovo su scenario internazionale” ha commentato l’esperto Stefano Zanero, professore associato di computer security al Politecnico di Milano.
Come spiegato dal Csirt stesso, VMware, produttrice americana del sistema informatico preso di mira, aveva già individuato e sanato la vulnerabilità nel febbraio 2021. Tuttavia, non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta. I server presi di mira, se privi delle patch, cioè delle “correzioni” adeguate, possono aprire le porte agli hacker impegnati a sfruttarla.
Quindi poco più di una ventina i server in Italia vulnerabili alla minaccia, definita però “massiccia” dall’Agenzia cyber italiana.
“Per capirci: Chigi ha dovuto indire una riunione con i massimi esponenti del servizi segreti per una ventina di criminali informatici alle prese con server non aggiornati” commenta oggi il Fatto Quotidiano.
LA POSIZIONE DI PALAZZO CHIGI
“In merito all’attacco hacker verificatosi su scala mondiale” — ha reso noto ieri Palazzo Chigi a seguito del vertice con il Sottosegretario con la delega alla Cybersecurity Alfredo Mantovano, il direttore dell’Acn Roberto Baldoni e la direttrice del Dis Elisabetta Belloni — “pur nella gravità dell’accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita”.
Inoltre “Non è emersa alcuna prova che indichi un’aggressione da parte di uno Stato o di un’entità statale ostile”, prosegue la nota del governo italiano.
“L’aggressione informatica, emersa già dalla serata del 3 febbraio e culminata ieri in modo così diffuso” si legge nella dichiarazione del 6 febbraio del governo, “era stata individuata da Acn come ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia aveva allertato tutti i soggetti sensibili affinché adottassero le necessarie misure di protezione” prosegue la nota di Palazzo Chigi.
L’ALLARME DELL’ACN
Come ha specificato la stessa Agenzia diretta da Roberto Baldoni, la vulnerabilità individuata dalle recenti analisi come CVE-2021-21974 (già sanata, come detto, dal vendor VMWare nel febbraio 2021), riguarda i sistemi esposti su Internet che offrono servizi di virtualizzazione basati sul prodotto VMWare ESXi. Secondo gli esperti dell’agenzia, la falla in questione ha un impatto elevato, stimato dalla comunità tecnica come “rischio alto/arancione” (70,25/100).
DOPO L’ALERT DALLA FRANCIA
I primi ad accorgersi dell’attacco sono stati i francesi. Il 3 febbraio 2023, il CERT-FR (ovvero il Csirt francese) ha diramato un bollettino in cui avvisa di campagne di attacco rivolte agli hypervisor VMware ESXi con l’obiettivo di distribuire ransomware su di essi.
“Applicare le patch da soli non è sufficiente. In effetti, un utente malintenzionato ha probabilmente già sfruttato la vulnerabilità e potrebbe aver rilasciato codice dannoso. Si raccomanda di effettuare un’analisi dei sistemi al fine di rilevare qualsiasi segno di compromissione ”, ha aggiunto il CERT-FR nel suo avviso sull’incidente.
LA PORTATA DELL’ATTACCO
“Taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze” chiosa la dichiarazione del governo.
L’attacco ha colpito migliaia di server in tutto il mondo, secondo i dati compilati dalla società di sicurezza informatica con sede negli Stati Uniti, Censys, con la maggior parte dei server interessati in Francia, seguita da Stati Uniti e Germania. Sarebbero 22 al momento – a quanto apprende l’Ansa – le vittime in Italia dell’attacco ransomware che ha sfruttato una vulnerabilità sui server VMware ESXi. Si tratta di enti o aziende che non rivestono particolare rilevanza per la sicurezza nazionale, come spiegato ieri da Palazzo Chigi.
“Circa 400, invece, le potenziali vittime: si tratta di di strutture, cioè, che non avevano adottato la correzione alla vulnerabilità indicata il 23 febbraio 2021 dalla società produttrice del software, ma che non risulterebbero ‘infettate’. Analisi sono tuttavia in corso da parte di Polizia postale e Agenzia per la cybersicurezza nazionale per accertare l’integrità dei sistemi e ripristinare le condizioni di sicurezza” aggiunge oggi l’Ansa.
PER GLI ESPERTI: ALLARME ECCESSIVO
Dunque allarme eccessivo secondo gli esperti.
Ieri ad Agenzia Nova Gerardo Costabile, amministratore delegato di Deepcyber e presidente dell’Associazione italiana digital forensics (Iisfa) ha sottolineato la necessità di “ridimensionare la portata effettiva degli attacchi informatici che stanno interessando in queste ore non solo il nostro Paese ma il mondo intero”.
“Al di là dell’eco mediatica – ha spiegato –, si tratta di incursioni finalizzate alla richiesta di un riscatto, in questo caso sfruttando un ransomware che infetta i server in rete vengono chiesti 42 mila euro per due bitcoin. Ma la vulnerabilità, si badi bene, risale al 2021, quindi, parlando in termini informatici a un’era geologica fa ed è un problema, tra l’altro, già risolto dallo stesso produttore del software attraverso il rilascio di un’apposita patch di sicurezza”.
LA DIFFERENZA CON WANNACRY, IL RANSOMWARE CHE HA MESSO KO MEZZO MONDO
“A differenza dell’attacco con il ransomware WannaCry – ha aggiunto Costabile – che nel 2017 interessò i sistemi Microsoft, quelli che utilizziamo un po’ tutti, in questo caso si tratta di sistemi di virtualizzazione aziendale, impiegati ad esempio dalle università e dalle piccole e medie imprese. Sono loro che dovranno migliorare il livello di sicurezza informatica interno”.
Secondo Costabile, tuttavia, “i sistemi sono sempre vulnerabili, e per questo caso mi sembra che il clamore suscitato sia troppo, proprio perché si tratta di una vulnerabilità vecchia e anche molto semplice da risolvere”.
IN ARRIVO IL DECRETO DEL GOVERNO
Infine, il governo ha annunciato l’adozione di un Dpcm, dando seguito a quanto previsto dal DL n. 82/2021, “per raccordare il fondamentale lavoro di prevenzione delle Regioni con ACN” per innalzare l’asticella della sicurezza cibernetica delle aziende e istituzioni.
GLI AUSPICI DEGLI ESPERTI
Ma potrebbe non essere sufficiente secondo gli esperti.
“Mi auguro che il governo avvii azioni mirate per migliorare la sicurezza informatica e sanzioni chi non si adegua alle disposizioni e non procede all’integrazione delle patch rilasciate” ha auspicato Costabile.
Per il divulgatore ed esperto di cyber-sicurezza Corrado Giustozzi invece, “occorrerebbero norme come quelle per i sequestri di persona negli anni 70, che vietino o rendano difficile ai soggetti colpiti di pagare i riscatti, per non alimentare il circolo vizioso”.