Un massiccio attacco hacker è stato scatenato ieri, 5 febbraio 2023, dagli hacker in tutto il mondo, Italia compresa. L’offensiva ha colpito soprattutto Francia, Italia e Finlandia. Prese di mira anche le reti di Canada e Stati Uniti.
A rilevarlo è stato il Computer Security Incident Response Team Italia (Csirt-IT) dell’Agenzia per la Cybersicurezza Nazionale (ACN), che ha rilevato un massiccio attacco hacker tramite ransomware già in circolazione che prende di mira i server VMware ESXi, il cui impatto verrà valutato nelle prossime ore.
I tecnici dell’agenzia hanno già censito “diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi”. Tuttavia, si spiega, “rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.
Che si tratti di una cosa seria lo conferma il vertice convocato oggi da Palazzo Chigi per fare un primo bilancio dei danni provocati e mettere in campo le adeguate contromisure.
“Il governo segue con attenzione, aggiornato dall’Agenzia per la Cybersicurezza Nazionale, ACN, gli sviluppi dell’attacco tramite un ransomware già in circolazione nei server VMware ESXi. Domani mattina alle 9 il sottosegretario Alfredo Mantovano, autorità delegata per la cybersicurezza, incontrerà a Palazzo Chigi il direttore di ACN, Roberto Baldoni, e la direttrice del DIS-Dipartimento informazione e sicurezza, Elisabetta Belloni, per fare un primo bilancio dei danni provocati dagli attacchi e per confermare la promozione della adeguata strategia di protezione, peraltro da tempo già in atto”, si legge in una nota di Palazzo Chigi.
I server presi di mira sono i “server VMware ESXi”, secondo quanto comunica l’ACN, secondo cui l’attacco riguarda “qualche migliaio di server compromessi” dai Paesi europei come Francia, il Paese più colpito, Finlandia e Italia, fino al Nord America, il Canada e gli Stati Uniti.
“In Italia – spiega l’ACN – sono decine le realtà che hanno riscontrato l’attività malevola nei loro confronti ma secondo gli analisti sono destinate ad aumentare. Lo sfruttamento della vulnerabilità consente in una fase successiva di portare attacchi ransomware che, come è noto, cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione.
Tim ha comunicato che il problema è rientrato e il servizio si è stabilizzato alle ore 16:55. Dalle verifiche effettuate, il problema ha riguardato il flusso dati su rete internazionale che ha generato un impatto anche in Italia”.
La vulnerabilità sfruttata dagli attaccanti per distribuire il ransomware era già stata sanata nel febbraio 2021 dal vendor, ma non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta. I server presi di mira, se privi delle patch, possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend.
I primi ad accorgersene sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in Francia. Successivamente l’ondata di attacchi si è sposta su altri paesi, tra cui l’Italia. Dalle analisi effettuate dall’ACN, infatti, la campagna risulta indirizzata anche verso soggetti nazionali.
L’autorità nazionale per la sicurezza informatica ribadisce nella nota “che è prioritario per chiunque chiudere le falle individuate e sviluppare un’adeguata strategia di protezione”. Per i tecnici dell’ACN, infatti, “siamo stati in grado di censire diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.
A questo riguardo, l’Agenzia per la Cybersicurezza Nazionale, attraverso lo CSIRT Italia, ha pubblicato nella giornata di ieri uno specifico bollettino sul portale pubblico che include anche le procedure per risolvere la vulnerabilità, ai quali i responsabili tecnici dei servizi IT pubblici e privati sono invitati a fare riferimento.
