Un massiccio attacco hacker ha colpito diversi siti a livello globale ieri, domenica 5 febbraio, tra i paesi colpiti anche l’Italia. A renderlo noto è l’Agenzia per la cybersicurezza italiana, precisando che l’attacco è avvenuto “tramite un ransomware già in circolazione”. L’attacco è stato rilevato dal Computer security incident response team (Csirt) dell’Agenzia.
TIM down in tutta Italia
A fare da contorno all’attacco hacker su cui in queste ore si sta tenendo un vertice a Palazzo Chigi, si è aggiunto un crollo della connettività al di sotto del 30% della capacità normale per le reti Tim, per cui vi sono state moltissime segnalazioni da tutta Italia, sotto l’hashtag #timdown.
Sulla rete di Tim era stato rilevato, secondo quanto riportato dall’azienda, un problema di interconnessione al flusso dati su rete internazionale che ha avuto un forte impatto anche in nel nostro paese, con disservizi per Internet e per l’utilizzo dei bancomat.
Il problema è stato risolto nell’arco della giornata di ieri. Tra gli esperti che si occupano di cybersicurezza è però anche circolata l’ipotesi che il down sia stato dovuto ad un problema sui router di Sparkle, la società di Tim che gestisce i cavi in fibra ottica. Problema che potrebbe essere collegato all’attacco hacker.
Un attacco hacker da migliaia di vittime
Nella tarda serata di ieri l’Agenzia per la Cybersicurezza nazionale aveva contato già ben 2100 sistemi colpiti e bloccati dall’attacco ransomware globale, di cui 20 in Italia. Il numero sembra destinato a salire e soltanto nel corso della giornata di oggi sarà possibile identificare la reale entità dei danni di questo attacco, che potrebbe condurre a disservizi anche di banche, ASL ed ospedali.
L’agenzia precisa che l’attacco ha colpito a livello globale, manifestandosi in circa 120 Paesi, tra cui Francia, la più colpita, Finlandia e Italia, fino al Canada e agli Stati Uniti. I primi ad accorgersi dell’attacco hacker sono stati i francesi, forse anche a causa dell’elavato numero di infezioni registrato nel paese. Tra gli utenti pubblici vittime dell’attacco, sappiamo esserci ad esempio il comune di Biarritz, nel sud della Francia.
Gli esperti dell’Agenzia di cybersicurezza italiana, guidata da Roberto Baldoni avevano già allertato diversi soggetti pubblici e privati i cui sistemi risultano essere esposti e dunque vulnerabili agli attacchi, non riuscendo però ad avvisare “alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario”. Possibile quindi che vi siano siti sotto attacco probabilmente a loro insaputa.
Il bersaglio: una vulnerabilità nota da anni
La vulnerabilità sfruttata era già da tempo conosciuta e per questa falla era già stata rilasciata una patch correttiva esattamente due anni fa, ovvero nel febbraio 2021, dalla stessa VMware, l’azienda proprietaria del software coinvolto nell’attacco.
Ad essere preso di mira in questo attacco hacker è stato infatti l’ipervisore VMware ESXi, un prodotto per la virtualizzazione di livello enterprise, dell’azienda VMware Inc. Purtroppo, nonostante la vulnerabilità sia già stata corretta nel passato, non tutti coloro che usano questo sistema l’hanno risolta installando l’aggiornamento con la patch correttiva rendendo i loro server preda degli hacker che l’hanno sfruttata per colpire.
Un riscatto da 42 mila euro
Sui computer bloccati dal ransomware, compare una nota in cui si legge: “Allarme rosso!!! Abbiamo hackerato con successo la tua azienda. Tutti i file vengono rubati e crittografati da noi. Se si desidera recuperare i file o evitare la perdita di file, si prega di inviare 2.0 Bitcoin. Invia denaro entro 3 giorni, altrimenti divulgheremo alcuni dati e aumenteremo il prezzo. Se non invii bitcoin, informeremo i tuoi clienti della violazione dei dati tramite e-mail e messaggi di testo”.
Il wallet su cui versare i bitcoin è differente in ogni nota di riscatto, così come l’importo che varia tra i 2,064921 bitcoin ed i 2,01584 che, con la quotazione attuale, corrispondo a circa 42 mila euro.
I dettagli dell’attacco hacker del 5 febbraio 2023
Oltre alla vecchia vulnerabilità del 2021, segnalata dall’agenzia francese per la cybersicurezza, il CERT-FR, e dal nostro CSIRT, sembra ce ne siano altre nel VMware ESXi, identificate come CVE-2022-31696, CVE-2022-31697 , CVE-2022-31698 e CVE-2022-31699.
Un’analisi di Bleeping Computer rileva che però si tratterebbe di una famiglia nuova di ransomware che sfrutta queste vulnerabilità, consentendo ai cyber-criminali di eseguire un codice arbitrario su un host remoto. Questo significa che possono essere in grado di compromettere il sistema e arrivare anche al furto di dati e persino ad ottenere il controllo completo del sistema infettato.
Fortunatamente sembra che al momento la crittografia dannosa riguardi solo file marginali e non il file system, con la sola conseguenza della messa offline del server.
L’importanza di mantenersi aggiornati per proteggere i propri sistemi e i dati degli utenti da un attacco hacker come questo
Gli esperti di cybersicurezza consigliano vivamente quindi di aggiornare i sistemi alle versioni corrette il prima possibile, per proteggersi ulteriormente dagli attacchi RCE. Le versioni interessate di VMware ESXi includono la 6.7 e la 6.5, di cui si ricorda che le vulnerabilità sono state corrette dalla stessa VMware.
Il CERT-FR suggerisce che per bloccare gli attacchi sia necessario disabilitare il Service Location Protocol (Slp), che risulta essere vulnerabile sugli hypervisor ESXi non patchati e poi aggiornare non appena possibile e fare una scansione dei sistemi non aggionrati.
Tutti gli esperti di cybersicurezza sono comunque concordi sul fatto che si tratta di un evento davvero grave, in quanto evitabile, dato che si basa su una vulnerabilità nota che le diverse organizzazioni colpite avrebbero potuto evitare aggiornando i sistemi per tempo, anche a rischio di eventuali disservizi temporanei dovuti ad eventuali incompatibilità con gli aggiornamenti.
In corso un vertice a Palazzo Chigi
Un attacco hacker di tale entità può rappresentare una minaccia per la sicurezza nazionale per questo l’esecutivo del Governo vuole capire quale sia la reale portata dell’attacco e l’entità dei danni e studiare le possibili contromisure.
Per questo è in corso in queste ore un vertice a Palazzo Chigi, tra il direttore dell’Agenzia per la cybersicurezza Roberto Baldoni, la direttrice del Dipartimento di informazione e sicurezza (DIS) dei servizi segreti interni, Elisabetta Belloni, ed il sottosegretario Alfredo Mantovano, autorità delegata per la cybersicurezza.
Foto di Gerd Altmann da Pixabay
