Un attacco ransomware colpisce l’Italia
Nelle ultime ore un ransomware ha attaccato decine di server e siti in Italia e nel mondo. Ma cosa è successo? Sfruttando una falla del software VMware, gli hacker hanno rubato informazioni sensibili e chiesto un riscatto per non divulgare quanto assimilato.
Palazzo Chigi ha convocato un vertice d’emergenza, dove si è parlato della vicenda, con il sottosegretario alla presidenza del Consiglio Alfredo Mantovano, il direttore dell’Agenzia per la cybersicurezza nazionale Roberto Baldoni e la direttrice del Dipartimento informazioni e sicurezza Elisabetta Belloni.
“Nel corso delle prime attività ricognitive non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un ‘riscatto'”.
L’Agenzia per la cybersicurezza nazionale afferma che il colpo è avvenuto in circa 120 Paesi, dai Paesi europei come Francia Finlandia e Italia, fino al Nord America, in Canada e negli USA. Non possiamo però stabilire l’entità del danno, dato che non è chiaro quali siano quelli colpiti.
Siamo davanti a un attacco ransomware, ovvero quando un programma installato in un sistema, lo rende inaccessibile al proprietario. In questo caso l’accesso è garantito se si pagherà agli hacker un riscatto. I criminali informatici hanno dato tre giorni per pagare 2 bitcoin, ovvero circa 42mila euro.
Le aziende colpite infatti hanno ricevuto questo messaggio: “Allarme rosso!!! Abbiamo hackerato con successo la tua azienda. Tutti i file vengono rubati e crittografati da noi. Se si desidera recuperare i file o evitare la perdita di file, si prega di inviare 2.0 Bitcoin. Invia denaro entro 3 giorni, altrimenti divulgheremo alcuni dati e aumenteremo il prezzo. Se non invii bitcoin, informeremo i tuoi clienti della violazione dei dati tramite e-mail e messaggi di testo“.
L’attacco è stato indirizzato ai server di VMWare ESXi, un servizio di virtualizzazione dei server. Sembra che il ransomware abbia sfruttato delle debolezze già segnalate a febbraio 2021, e per cui ai tempi l’azienda fornì una patch, per migliorare il sistema. Questa era da applicare manualmente dai tecnici incaricati. A tal proposito si è espresso anche Palazzo Chigi:
“L’aggressione informatica era stata individuata da ACN come ipoteticamente possibile e l’Agenzia aveva allertato tutti i soggetti sensibili affinché adottassero le necessarie misure di protezione. Taluni hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze. È come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a un’opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute” per chi non l’ha fatto”.
L’ACN ha dichiarato di aver allertato chi è stato colpito e chi è esposto. Le prime stime parlano di 5-20 server attaccati, ma non è chiaro quali aziende abbiamo subito danni.