Domenica 5 febbraio l’attacco hacker, iniziato la sera del 3, ha raggiunto il culmine colpendo 120 paesi tutto il mondo, tra cui Francia, Italia, Canada e Stati Uniti. L’attacco è avvenuto tramite un ransomware già in circolazione, rilevato dal Computer security incident response team (Csirt) dell’Agenzia per la cybersicurezza nazionale (ACN), ed ha portato a diversi disservizi per migliaia di siti.
L’attacco hacker dei giorni scorsi
I cyber criminali hanno sfruttato una vulnerabilità nota già dal 2021 di un server largamente diffuso, VMWare ESXi, l’hypervisor di VMware vSphere per la virtualizzazione. ESXi fornisce uno strato di virtualizzazione che permette di estrapolare risorse dal processore, dalla memoria, dallo storage e dalla rete dell’host fisico, per rilasciarle a più macchine virtuali.
Secondo le prime stime, le conseguenze sarebbero state l’impossibilità di accedere a migliaia di siti, 22 in Italia, e piattaforme di servizi, sia privati che pubblici. A sferrare l’attacco hacker di questi giorni, secondo una nota di Palazzo Chigi, ci sarebbero dei criminali informatici, che precludono ai proprietari l’accesso a siti e piattaforme web, che verranno poi riattivati solo a seguito del pagamento di un riscatto in denaro, anzi in questo caso in bitcoin.
Rischi per le aziende
Secondo Stefano Zanero, professore di Elettronica e Informatica al Politecnico di Milano, un attacco del genere non rappresenta un rischio per l’utente medio a cui al massimo può capitare di non riuscire ad accedere ad un servizio o ad un sito.
Attacchi simili sono infatti diretti, secondo Zanero, alle aziende con un particolare rischio per le piccole e medie imprese, che in genere non hanno del personale dedicato per tutto ciò che riguarda l’informatica aziendale.
Ma quali sono le principali minacce a cui le aziende vanno incontro? E cosa fare per evitare gli attacchi?
Le minacce
Nel caso di questo ultimo attacco hacker, è stato utilizzato per colpire un ransomware, ovvero un software che, una volta fatta breccia nel sistema informatico bersaglio, ne cripta i dati e soltanto chi ha sferrato l’attacco possiede la chiave di decrittazione. In genere i criminali informatici ricattano i proprietari del sistema sotto attacco con la minaccia di lasciare il sistema bloccato, o persino di cancellare tutti i dati o pubblicarli, nel caso di dati sensibili dell’azienda vittima o dei suoi utenti.
Un altro tipo di attacco comune è l’attacco DoS (Denial of Service) in cui i server della “vittima” sono bombardati di richieste a tal punto da impedire agli utenti di accedere alla rete.
Molti rischi si corrono con i così detti Zero Day, ovvero delle vulnerabilità di un sistema informatico che non sono ancora state rese pubbliche. Scoprirle significa avere un vantaggio sugli utenti del software, ancora del tutto ignari. Anche se questo non è il caso di questo ultimo attacco, dato che si trattava di una vulnerabilità nota e per cui a febbraio 2021 era già stata rilasciata una patch.
Come difendersi
Ecco dunque i consigli degli esperti per proteggersi da eventuali attacchi hacker e teneri i propri server, e i propri utenti, al sicuro. L’ente statunitense Institute for Security and Tecnology (IST), ha infatti sviluppato delle linee guida per difendersi dai criminali informatici.
L’IST suggerisce di creare e mantenere un inventario dettagliato delle risorse aziendali, un inventario dei software e uno degli account, così come un processo di gestione dei dati. Nel caso nell’azienda siano utilizzati dei software obsoleti perché è necessario studiare delle difese ad hoc, soprattutto se vi sono delle patch rilasciate per quel software ma non per quella versione, o se non vi sono patch per quel software.
Bisogna inoltre proteggere l’infrastruttura di rete con un processo di configurazione sicuro e creando e mantenendo un processo di concessione e revoca dell’accesso, uno di gestione delle vulnerabilità e uno di riparazione.
Bisogna inoltre che le aziende, anche quelle medio piccole, sviluppino un programma aziendale di sensibilizzazione alla sicurezza. Ad esempio sensibilizzando i dipendenti all’utilizzo di password sicure, soprattutto per l’accesso da remoto con diritti di amministratore di dominio. Tali accessi dovrebbero infatti essere riservati a pochi e protetti da autenticazione a più fattori.
In caso tali misure non dovessero bastare, è sempre meglio avere un backup secondario off-site, di tutti i sistemi e di tutte le informazioni essenziali, di modo che, anche in caso di attacco, l’azienda possa continuare le sue operazioni.
Come proteggersi dall’attacco hacker di questi giorni
Nel caso di questo specifico attacco hacker, è necessario eseguire l’aggiornamento all’ultima patch, come aveva richiesto la stessa Vmware. Le aziende che utilizzano questi server sono quindi invitate ad aggiornare il prima possibile i loro sistemi, per evitare di essere colpiti dall’attacco hacker di questi giorni.
Vmware ha dunque ribadito in questi giorni ai suoi clienti, di installare gli ultimi aggiornamenti di sicurezza e disabilitare il servizio OpenSLP. La vulnerabilità sfruttata per colpire i server ESXi esposti a Internet si trova infatti in questo servizio.
Ad essere stati vittima dell’attacco sono infatti server con questo servizio attivo e privi della patch che ne risolveva la vulnerabilità che è stata dunque sfruttata dai criminali informatici per ottenere l’esecuzione di codice in modalità remota (RCE).
Foto di Werner Moser da Pixabay