A partire dal 3 Febbraio 2023 un massiccio attacco informatico di tipo Ransomware avrebbe colpito migliaia di server in tutto il mondo: si tratta di un virus informatico che, una volta all'interno di un server, rende inaccessibili i dati, cifrandoli.
Tipicamente i ransomware vengono diffusi con l'obiettivo di chiedere indietro un riscatto ed è quello che sembrerebbe sia successo anche stavolta: si parla di 2 Bitcoin (pari, attualmente, a circa 42.000€) da consegnare entro 3 giorni in cambio della concessione (ipotetica) della chiave di de-cifratura utile per ottenere nuovamente i dati originari e con la minaccia di divulgazione di dati e di aumento del prezzo del riscatto. Ma come è stato compiuto l'attacco hacker? E com'è la situazione in Italia?
L'ipotesi di un attacco hacker globale
Gli attaccanti avrebbero sfruttato una nota vulnerabilità che colpisce i server VMWare ESXi, in particolare parliamo delle CVE-2021–21974 e CVE-2020-3992 che l'ACN (Agenzia per la Cybersicurezza Nazionale) classifica come vulnerabilità a rischio alto. Quando si fa riferimento a un CVE, si intende in genere una vulnerabilità informatica nota a cui è stato assegnato un numero identificativo (ID) CVE.
Quando vengono scoperte delle vulnerabilità su prodotti software, come nel caso in oggetto, il produttore rilascia le cosiddette patch di sicurezza, quindi, in sostanza, aggiorna il prodotto in modo da renderlo protetto da tali vulnerabilità: in questo caso le patch erano state rilasciate da VMWare già da Febbraio 2021 mentre i codici di exploiting (codici utilizzati per sfruttare la vulnerabilità ed eseguire codice da remoto all'interno dei server) sarebbe disponibile open source da maggio 2021!
Sul sito Censys, ricercando il testo della pagina web mostrata dai pirati informatici per chiedere il riscatto, come numero di server infettati la Francia sembrerebbe al primo posto, seguita dagli USA, dalla Germania e poi dal Canada. Il sito del governo Francese ha creato una pagina web ad hoc per fare informare sull'attacco e per spiegare quali sono le CVE sfruttate e quali siano le versione di ESXi vulnerabili che risultano:
- ESXi 7.x versioni precedenti alla ESXi70U1c-17325551
- ESXi versioni 6.7.x precedenti alla ESXi670-202102401-SG
- ESXi versioni 6.5.x precedenti alla ESXi650-202102101-SG
Il report dell'ACN sull'attacco evidenzia come:
Dalle analisi effettuate la campagna risulta indirizzata anche verso soggetti nazionali. […] Qualora sfruttata, tale vulnerabilità, con score CVSS v3 pari a 8.8, potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target.
La situazione in Italia
Stando ai dati raccolti dai motori di ricerca come Shodan, in grado di individuare i server potenzialmente vulnerabili, emerge che sarebbero circa 2100 i server compromessi nel mondo di cui circa 20 in Italia. Tuttavia, questi sono ancora stime parziali e sarà necessario aspettare qualche giorno per avere informazioni ufficiali e maggiormente puntuali.
Intanto a Palazzo Chigi si è riunito un vertice per stimare un primo bilancio delle conseguenze provocate dall'attacco, al quale hanno partecipato il sottosegretario alla Presidenza del Consiglio Alfredo Mantovano, il direttore dell'agenzia per la cybersicurezza nazionale Roberto Baldoni e la direttrice del Dipartimento informazione e sicurezza Elisabetta Belloni.
Dopo il vertice è stata diffusa una nota dove si legge che:
Pur nella gravità dell’accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita. […] Non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile.
La situazione, dunque, è ancora in fase di definizione, ed in particolare non vi è ancora un censimento ufficiale sul numero dei dispositivi colpiti.
Nel frattempo l'ACN (Agenzia per la Cybersicurezza Nazionale) e la Polizia Postale starebbero cercando di identificare i server vulnerabili per limitare i danni; rimarrebbero esposti alcuni sistemi dei quali non si è riusciti a risalire al soggetto proprietario. La raccomandazione è quindi quella di installare le patch correttive al fine di aggiornare tutti i sistemi che ancora risultano vulnerabili.
Alcune fonti suggeriscono come anche l'Università di Napoli Federico II sia stata una delle vittime dell'attacco. L'Università dal canto suo risponde che ha analizzato tutti i file di log e che l'attacco è stato sventato grazie all'utilizzo di un honeypot – ovvero un sistema-trappola che ha il fine proprio di attirare gli attaccanti distraendone l'attenzione e tracciandone le attività.