0 risultati
video suggerito
video suggerito
7 Febbraio 2023
9:54

Attacco hacker colpisce server in tutto il mondo, cosa sappiamo del ransomware e qual è la situazione in Italia

In corso un cyber-attacco globale di tipo Ransomware che ha infettato migliaia di server in tutto il mondo. Vediamo cosa sappiamo e ricostruiamo la situazione in Italia.

285 condivisioni
Attacco hacker colpisce server in tutto il mondo, cosa sappiamo del ransomware e qual è la situazione in Italia
Attacco hacker febbraio 2023

A partire dal 3 Febbraio 2023 un massiccio attacco informatico di tipo Ransomware avrebbe colpito migliaia di server in tutto il mondo: si tratta di un virus informatico che, una volta all'interno di un server, rende inaccessibili i dati, cifrandoli.
Tipicamente i ransomware vengono diffusi con l'obiettivo di chiedere indietro un riscatto ed è quello che sembrerebbe sia successo anche stavolta: si parla di 2 Bitcoin (pari, attualmente, a circa 42.000€) da consegnare entro 3 giorni in cambio della concessione (ipotetica) della chiave di de-cifratura utile per ottenere nuovamente i dati originari e con la minaccia di divulgazione di dati e di aumento del prezzo del riscatto. Ma come è stato compiuto l'attacco hacker? E com'è la situazione in Italia?

L'ipotesi di un attacco hacker globale

Gli attaccanti avrebbero sfruttato una nota vulnerabilità che colpisce i server VMWare ESXi, in particolare parliamo delle CVE-2021–21974 e CVE-2020-3992 che l'ACN (Agenzia per la Cybersicurezza Nazionale) classifica come vulnerabilità a rischio alto. Quando si fa riferimento a un CVE, si intende in genere una vulnerabilità informatica nota a cui è stato assegnato un numero identificativo (ID) CVE.
Quando vengono scoperte delle vulnerabilità su prodotti software, come nel caso in oggetto, il produttore rilascia le cosiddette patch di sicurezza, quindi, in sostanza, aggiorna il prodotto in modo da renderlo protetto da tali vulnerabilità: in questo caso le patch erano state rilasciate da VMWare già da Febbraio 2021 mentre i codici di exploiting (codici utilizzati per sfruttare la vulnerabilità ed eseguire codice da remoto all'interno dei server) sarebbe disponibile open source da maggio 2021!

Sul sito Censys, ricercando il testo della pagina web mostrata dai pirati informatici per chiedere il riscatto, come numero di server infettati la Francia sembrerebbe al primo posto, seguita dagli USA, dalla Germania e poi dal Canada. Il sito del governo Francese ha creato una pagina web ad hoc per fare informare sull'attacco e per spiegare quali sono le CVE sfruttate e quali siano le versione di ESXi vulnerabili che risultano:

  • ESXi 7.x versioni precedenti alla ESXi70U1c-17325551
  • ESXi versioni 6.7.x precedenti alla ESXi670-202102401-SG
  • ESXi versioni 6.5.x precedenti alla ESXi650-202102101-SG

Il report dell'ACN sull'attacco evidenzia come:

Dalle analisi effettuate la campagna risulta indirizzata anche verso soggetti nazionali. […] Qualora sfruttata, tale vulnerabilità, con score CVSS v3 pari a 8.8, potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target.

La situazione in Italia

Stando ai dati raccolti dai motori di ricerca come Shodan, in grado di individuare i server potenzialmente vulnerabili, emerge che sarebbero circa 2100 i server compromessi nel mondo di cui circa 20 in Italia. Tuttavia, questi sono ancora stime parziali e sarà necessario aspettare qualche giorno per avere informazioni ufficiali e maggiormente puntuali.
Intanto a Palazzo Chigi si è riunito un vertice per stimare un primo bilancio delle conseguenze provocate dall'attacco, al quale hanno partecipato il sottosegretario alla Presidenza del Consiglio Alfredo Mantovano, il direttore dell'agenzia per la cybersicurezza nazionale Roberto Baldoni e la direttrice del Dipartimento informazione e sicurezza Elisabetta Belloni.
Dopo il vertice è stata diffusa una nota dove si legge che:

Pur nella gravità dell’accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita. […] Non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile.

La situazione, dunque, è ancora in fase di definizione, ed in particolare non vi è ancora un censimento ufficiale sul numero dei dispositivi colpiti.
Nel frattempo l'ACN (Agenzia per la Cybersicurezza Nazionale) e la Polizia Postale starebbero cercando di identificare i server vulnerabili per limitare i danni; rimarrebbero esposti alcuni sistemi dei quali non si è riusciti a risalire al soggetto proprietario. La raccomandazione è quindi quella di installare le patch correttive al fine di aggiornare tutti i sistemi che ancora risultano vulnerabili.
Alcune fonti suggeriscono come anche l'Università di Napoli Federico II sia stata una delle vittime dell'attacco. L'Università dal canto suo risponde che ha analizzato tutti i file di log e che l'attacco è stato sventato grazie all'utilizzo di un honeypot – ovvero un sistema-trappola che ha il fine proprio di attirare gli attaccanti distraendone l'attenzione e tracciandone le attività.

Video thumbnail
Sfondo autopromo
Cosa stai cercando?
api url views