L’Italia è stata colpita da un attacco hacker internazionale a sistemi non aggiornati che può avere effetti rilevanti sia per le aziende, sia per i sistemi nazionali. Per discutere la situazione è stato organizzato un incontro al vertice tra Alfredo Mantovano, sottosegretario di Stato alla Presidenza del Consiglio dei ministri ed autorità delegata per la cybersicurezza, Roberto Baldoni (direttore dell’Agenzia per la Cybersicurezza Nazionale) ed Elisabetta Belloni (direttrice del Dipartimento informazione e sicurezza). Mentre scriviamo queste note, l’incontro è ancora in corso.
Contemporaneamente si era registrato un problema con la rete Tim, che nelle dichiarazioni successive è stato scollegato dall’altro evento.
L’attacco era partito qualche giorno prima su sistemi Windows e WMware, secondo Bleeping Computer ed altre fonti. Successivamente è stato registrato in Francia, segnalando un’azione sugli hébergeurs, ovvero i provider, Scaleway ed OVHcloud. A quanto si legge, in Europa l’allarme è stato finora lanciato solo su WMware e non su Windows.
In Italia la segnalazione è partita dal Computer security incident response team di Acn.
Tecnicamente parlando, il crimine informatico in corso è un exploit-driven attack che punta sul mancato aggiornamento del server VMware ESXi per entrare nel sistema e svolgere attività illecite tramite il ransomware Nevada. I criminali hanno sfruttato CVE-2021-21974, una falla già segnalata a febbraio 2021.
Questa azione sarebbe stata promossa sui forum darknet dal 10 dicembre 2022, invitando i criminali informatici di lingua russa e cinese.
Gli effetti che saranno resi pubblici saranno solo una piccola parte di quelli reali. Come sempre, nel ransomware il problema non è solo il blocco momentaneo dei dati e il riscatto da pagare, ma anche e soprattutto la quasi sistematica vendita sul mercato nero dei dati esfiltrati. Quali siano questi dati sarà ben difficile che venga reso noto.
“Il recente e massiccio attacco informatico ai server ESXi è considerato il cyber attack più esteso mai segnalato a macchine non Windows”, ha dichiarato Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies.
“Su questi server solitamente sono in esecuzione altri server virtuali. Quindi, il danno è probabilmente più diffuso di quanto possiamo immaginare.”
Non possiamo non ripetere, ancora una volta, che l’effetto di questi attacchi è sempre amplificato dalla mancanza di aggiornate pratiche omogenee e dalla scarsissima preparazione informatica a livello Paese. In Italia, più che in altre parti del mondo, abbiamo un numero ridottissimo di informatici e l’informatica non esiste senza sicurezza. Quando si parla di formazione a tutti i livelli si dovrebbe fare più attenzione alle tastiere e meno ai pennelli.