Una ‘falla’ per cui il cerotto era già stato creato due anni fa, ma molto spesso mai applicato: sfruttando la vulnerabilità dei server VMWare ESXi, un attacco informatico segnalato ieri, 5 febbraio, è riuscito a colpire diversi obiettivi anche in Italia, secondo quanto riferito dall’Agenzia italiana per la cybersicurezza. Obiettivo dell’attacco, è stato poi rivelato: ottenere un riscatto da 2 Bitcoin (40mila euro) da ogni vittima.
Il Csirt (Computer Security Incident Response Team) dell’Agenzia ha subito parlato di sistemi coinvolti in Italia ma anche all’estero (fino a Canada e Stati Uniti), con l’allarme partito alla fine della scorsa settimana dalla Francia e per il quale, a livello mondiale, è stata segnalata un’estensione da “migliaia” di server.
Intanto, la presidenza del Consiglio ha fatto sapere che le istituzioni non sono state colpite, dopo un incontro d’emergenza tra il sottosegretario con delega alla Cybersicurezza Alfredo Mantovano, con Roberto Baldoni, il direttore dell’Agenzia per la Cybersicurezza nazionale ed Elisabetta Belloni, dal 2021 direttrice generale del Dipartimento delle informazioni per la sicurezza. “In Italia nessuna istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita”.
Ransomware, perché l’attacco preoccupa
Nonostante non siano stati colpiti snodi informatici fondamentali per l’economia e la pubblica amministrazione italiana, e nonostante le macchine interessate dovrebbero essere solo quelle esposte su Internet, l’attacco è stato descritto come ‘grave’. A un giorno dall’allarme dell’agenzia, è ancora così? “Al momento non sembra ci siano conseguenze di gravità così elevata come si era pensato inizialmente sui media, ma se io fossi un imprenditore con un’azienda bloccata, la mia prospettiva cambierebbe”, dice a Fortune Italia Gabriele Faggioli, presidente del Clusit, l’associazione italiana per la sicurezza informatica.
“Quello che sappiamo è che gruppi hacker non riconducibili ad altri Stati hanno sfruttato una vulnerabilità nota da anni e sulla quale il fornitore ha già da due anni fornito una patch: chi ha subito attacco, quindi, non si è difeso nel modo adeguato, non ha installato le patch predisposte dal fornitore”, dice Faggioli.
Acn e Polizia postale in queste ore stanno identificando tutti i soggetti potenzialmente vulnerabili, “in modo da circoscrivere gli effetti negativi che potrebbero derivare non solo per i loro sistemi informatici, ma pure per la popolazione”, si legge in una nota. Per il momento si parla di una ventina di server colpiti (rispetto alle centinaia del Paese più colpito, la Francia).
“È un attacco grave, potenzialmente, perché si tratta di un sistema molto diffuso nel mondo corporate. Il totale netto delle aziende colpite sembra non eccessivamente corposo, e non sono state colpite strutture primarie, come ha dichiarato l’agenzia. Quindi fortunatamente molti avevano fatto quello che dovevano fare”, dice Faggioli.
C’è un aspetto, però, che preoccupa alcuni esperti. Quello ai server ESXi “è considerato il cyber attack più esteso mai segnalato a macchine non Windows”, ha dichiarato Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies. “A rendere ancora più preoccupante la situazione è il fatto che fino a poco tempo fa gli attacchi ransomware erano limitati proprio alle macchine basate su Windows. Gli attori delle minacce ransomware hanno capito quanto siano cruciali i server Linux per i sistemi di enti e organizzazioni. Questo li ha sicuramente spinti a investire nello sviluppo di un’arma informatica così potente e a rendere il ransomware così sofisticato”,
Anche Faggioli conferma che il passaggio dell’attacco da macchine Windows a Linux “sicuramente non è un buon segnale. Però stiamo parlando di una vulnerabilità ormai di due anni fa”, spiega, e un ritardo del genere nel coprire una falla può anche spiegare come un sistema considerato tradizionalmente più sicuro sia stato esposto all’attacco.
Un altro attacco ransomware
Quello che ha sfruttato una vecchia vulnerabilità di VMWare è un attacco ransomware, uno degli attacchi informatici con ‘riscatto’ diventati diffusissimi negli ultimi anni: la pratica degli hacker di bloccare il computer della vittima (aziende, privati, pubblica amministrazione) e di chiedere un riscatto per sbloccarlo è diventato il fenomeno più in crescita del panorama delle minacce informatiche, anche per la relativa facilità con cui un hacker lo può inviare: basta un programma inviato tramite mail a un impiegato disattento, per bloccare i sistemi di un’azienda (o perlomeno, di una poco protetta).
Con un attacco ransomware si effettua la crittografia dei dati di un computer o di un sistema informatico, e poi si chiede un riscatto per restituire l’accesso ai dati. Il pagamento del riscatto non garantisce necessariamente la de-crittografia dei dati, ma capita spesso che le aziende accettino di pagarlo.
L’attacco segnalato dall’Agenzia sfrutta una ‘falla’ dei sistemi VMWare ESXi, che è un servizio di virtualizzazione dei server (che replica, cioè, le funzionalità di un server in altre macchine). “Rilevato il massiccio sfruttamento attivo in rete della vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021 – presente nei prodotti VMware ESXi”, ha scritto l’Agenzia.
Ma il fatto che la patch esistesse non significa che i sistemi fossero protetti: ogni soggetto interessato (ogni azienda che usa quel servizio di server) deve applicare la patch. Se non lo fa, si espone ad attacchi. Non si sa ancora quanti possano essere questi soggetti interessati, ma l’agenzia ha fornito una stima d’impatto arancione (su una scala che dopo ha solo altre due ‘gravità’ d’impatto, rossa e nera)
Le misure di prevenzione degli attacchi sono quelle solitamente consigliate dagli esperti: utilizzare software anti-virus, aggiornare i sistemi regolarmente (come la patch di VMWare ESXi) e il backup dei dati. “Chi è stato colpito in questo momento deve assolvere gli eventuali obblighi di legge segnalando al Csirt o all’autorità sulla privacy. Dal punto di vista pratico, deve capire se riesce a recuperare i dati crittografati, e poi capire cosa fare con il pagamento del riscatto: noi siamo negativi su qualsiasi pagamento, ma la valutazione la fa ogni imprenditore. Da quel momento in poi, naturalmente, dovrà pensare ad aumentare la propria capacità di difesa”, dice Faggioli.
Secondo Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security di Barracuda Networks, l’attacco a una vecchia falla informatica “evidenzia quanto sia importante aggiornare i principali sistemi di infrastruttura software il più rapidamente possibile, sebbene non si tratti di un’operazione facile per le organizzazioni. Nel caso di questa patch, ad esempio, le aziende devono disattivare temporaneamente parti essenziali della loro infrastruttura IT. Tuttavia, è preferibile affrontare questo tipo di inconveniente piuttosto che essere colpiti da un attacco potenzialmente distruttivo”.
Secondo l’esperto di Check Point Software, invece, “questo attacco ransomware ha un impatto potenziale che potrebbe riversarsi sull’intera cittadinanza, producendo disagi a livello nazionale, o addirittura globale … Ciò che può rendere ancora più devastante l’impatto è l’utilizzo di questi server, sui quali solitamente sono in esecuzione altri server virtuali. Quindi, il danno è probabilmente diffuso su ampia scala, più di quanto possiamo immaginare.”
