L’Autorità bancaria europea (Eba) è stata oggetto di un attacco informatico contro i suoi server Microsoft Exchange, che sta interessando molte organizzazioni in tutto il mondo. Ne ha dato notizia ieri sera.
L’Eba ha indicato che essendo “la vulnerabilità correlata ai server di posta elettronica dell’Autorità, l’accesso ai dati personali tramite i messaggi di posta elettronica conservati su tali server potrebbe essere in mano all’aggressore”. Come misura precauzionale, l’Eba ha deciso di mettere offline i suoi sistemi di posta elettronica.
Come detto, l’authority europea non è l’unica istituzione sotto attacco. Un gruppo di hacker ha attaccato almeno 30mila tra imprese, città e governi locali, negli Stati Uniti negli ultimi giorni. Gli aggressori hanno sfruttato le vulnerabilità nel software di posta elettronica di Microsoft Exchange Server. Lo riporta il sito KrebsOnSecurity, specializzato in crimini informatici.
Il Microsoft Threat Intelligence Center (MSTIC) ha attribuito gli attacchi a Hafnium, molto probabilmente un gruppo sostenuto dalla Cina. Un portavoce del governo cinese ha riferito all’agenzia di stampa Reuters che Pechino non è dietro l’attacco.
La notizia della violazione ha spinto la Cybersecurity and Infrastructure Security Agency (Cisa) degli Stati Uniti a rilasciare una direttiva di emergenza.
L’aggressione cibernetica segue e sorpassa per entità il maxi cyber attacco SolarWinds attraverso la piattaforma Orion.
Tutti i dettagli.
L’ATTACCO INFORMATICO CHE HA COLPITO I SERVER MICROSOFT EXCHANGE
L’Eba ha messo offline tutti i sistemi di posta elettronica dopo l’attacco informatico contro i suoi server Microsoft Exchange.
I DATI A RISCHIO
Secondo l’authority gli aggressori potrebbero aver ottenuto l’accesso ai dati personali tramite e-mail conservate sui server di MS Exchange. Attualmente l’Eba sta cercando di identificare quali dati, se ce ne sono, e se sono stati consultati.
LA REAZIONE DELL’EBA
“L’Autorità ha avviato un’indagine completa, in stretta collaborazione con il suo fornitore di TIC, un team di esperti forensi e altre entità pertinenti”, ha dichiarato l’Eba.
“L’Eba fornirà informazioni sulle misure che gli interessati potrebbero adottare per mitigare i possibili effetti negativi. Come misura precauzionale, l’Eba ha deciso di mettere offline i suoi sistemi di posta elettronica”.
COSA HA FATTO MICROSOFT
La scorsa settimana Microsoft ha rilasciato patch di sicurezza di emergenza. In questo modo ha colmato le quattro falle di sicurezza che interessano la versione di Exchange Server dalla 2013 alla 2019.
Microsoft ha esortato i clienti di Exchange ad applicare immediatamente le patch perché “i gruppi criminali si muoveranno rapidamente per trarre vantaggio da eventuali sistemi privi di patch”.
LA DURATA DELL’ATTACCO CIBERNETICO
Tuttavia, secondo KrebsOnSecurity, l’attacco è in corso dal 6 gennaio alla fine di febbraio. Microsoft ha rilasciato le sue patch il 2 marzo, il che significa che gli aggressori avevano quasi due mesi per portare a termine le loro operazioni.
In un aggiornamento sulla situazione, Microsoft afferma: “Negli attacchi osservati, l’attore ha utilizzato queste vulnerabilità per accedere ai server Exchange locali che abilitavano l’accesso agli account di posta elettronica e consentivano l’installazione di malware aggiuntivo per facilitare l’accesso a lungo termine”
L’AGGRESSORE SECONDO IL COLOSSO DI REDMOND
Microsoft ha attribuito l’attacco ad Hafnium, un gruppo di hacker sponsorizzato dallo stato che opera dalla Cina.
LA DIRETTIVA DELLA CISA
Nel fine settimana la Cisa degli Stati Uniti ha avvertito di essere “a conoscenza del diffuso sfruttamento nazionale e internazionale” delle vulnerabilità di Microsoft Exchange Server. Pertanto l’agenzia ha sollecitato la scansione dei registri di Exchange Server con lo strumento di rilevamento IOC di Microsoft per determinare la compromissione.