Il Governo studia il caso del ransomware che ha attaccato decine di server e siti in Italia e nel mondo: sfruttando una falla del software VMware, gli hacker hanno rubato informazioni sensibili e chiedono un riscatto per non divulgare quanto appreso. “A questo punto serve una normativa ad hoc che impedisca anche alle aziende di pagare, come succedeva per i sequestri di persona negli anni ’70”, sottolinea Corrado Giustozzi, divulgatore ed esperto di cyber-sicurezza
È in corso a Palazzo Chigi un vertice col sottosegretario alla presidenza del Consiglio Alfredo Mantovano, il direttore dell’Agenzia per la cybersicurezza nazionale Roberto Baldoni e la direttrice del Dipartimento informazioni e sicurezza Elisabetta Belloni sul tema dell’attacco hacker, che ha coinvolto decine di server e siti in Italia e migliaia nel mondo, ben 2100 (un numero in costante rialzo). La riunione è convocata anche “per confermare la promozione della adeguata strategia di protezione, peraltro da tempo già in atto”. Ad essere stata sfruttata è una falla del software VMware, che due anni fa aveva rilasciato una patch di aggiornamento, ignorata però da molti, forse troppi utenti. Per tutte le aziende attaccate il messaggio che compare è il seguente: “Allarme rosso!!! Abbiamo hackerato con successo la tua azienda. Tutti i file vengono rubati e crittografati da noi. Se si desidera recuperare i file o evitare la perdita di file, si prega di inviare 2.0 Bitcoin. Invia denaro entro 3 giorni, altrimenti divulgheremo alcuni dati e aumenteremo il prezzo. Se non invii bitcoin, informeremo i tuoi clienti della violazione dei dati tramite e-mail e messaggi di testo”. L’attuale cambio tra bitcoin ed euro prevede che 2 bitcoin equivalgano a 42mila euro.
Cosa è successo in Italia
leggi anche
Massiccio attacco hacker in corso: “Migliaia di server down nel mondo”
Un attacco venuto alla luce nel giorno in cui la rete Tim è andata in down lasciando milioni di utenti senza internet e provocando disservizi anche ai bancomat. Sia l’azienda sia la polizia postale hanno però escluso che il problema sia dovuto ad un attacco dei pirati informatici. Che la cosa sia seria però lo dimostra tanto l’incontro di oggi a Palazzo Chigi quanto l’informativa delle scorse settimane del premier Meloni in Consiglio dei ministri. L’allarme era arrivato nel pomeriggio di domenica dall’Agenzia per la cybersicurezza nazionale: il Computer security incident response team Italia, organismo che monitora gli incidenti e interviene in caso di attacchi, aveva scoperto che gli hacker erano entrati in azione attraverso un “ransomware già in circolazione”, che aveva attaccato decine di sistemi. In una nota, l’agenzia precisa che l’attacco è in corso in tutto il mondo, in circa 120 Paesi, e riguarda “qualche migliaio di server compromessi” “dai Paesi europei come Francia – quello più colpito – Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti”. I primi ad accorgersene, aggiungono, sono stati i francesi, “probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider”. Tra gli utenti pubblici attaccati sappiamo che c’è il comune di Biarritz, nel sud del Paese. Inoltre, gli esperti dell’Agenzia guidata da Roberto Baldoni avevano allertato diversi soggetti pubblici e privati i cui sistemi risultano esposti e dunque vulnerabili agli attacchi non riuscendo per ad avvisare “alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario”. Possibile quindi che altri soggetti siano sotto attacco, probabilmente a loro insaputa.
Esperto italiano ridimensiona la portata
L’esperto di cybersecurity Stefano Zanero è intervenuto in una diretta social per chiarire quanto successo: “Al mondo è interessato qualche migliaio di aziende, ma nulla di nuovo”. Il professore associato di computer security al Politecnico di Milano ha ridimensionato la portata dell’attacco. “Tecnicamente, è stata coinvolta la già citata piattaforma di Vmware, utilizzata dai sistemisti, anche per gestire servizi internet. Le aziende interessate, qualche migliaio al mondo, usavano sistemi non aggiornati ed esposti, ossia vulnerabili a problematiche note da un paio di anni. Si tratta di uno scenario ricorrente. Quello che risalta all’occhio delle analisi è che, nel weekend, sono avvenuti almeno 2.000 attacchi, collegati al ransomware lanciato da un gruppo di criminali informatici che potrebbe aver escogitato un nuovo metodo per eludere le difese delle vittime prese di mira”. Per Zanero, in Italia è possibile stimare dalle venti alle trenta aziende teoricamente implicate, di cui ancora cinque nelle ultime ore, con il virus che, se insediato, blocca i sistemi e chiede un riscatto per tornarne in possesso.
Cosa chiedono gli hacker
leggi anche
Acea, subito un attacco hacker ma nessun impatto sui servizi
Il versamento di 42mila euro da parte degli hacker viene richiesto ognuno su un portafoglio digitale differente (a volte vengono chiesti 2,064921 bitcoin, altre 2,01584, ma la quotazione resta pressappoco la stessa). Come evidenzia Luca Bechelli, esperto cyber, su Cybersecurity360.it l’attacco è grave perché “il bersaglio è un sistema tra i più utilizzati in assoluto alla base del funzionamento delle infrastrutture. In una organizzazione, se comprometti questa piattaforma, comprometti la maggior parte dei sistemi server”. Inoltre, “si basa su una vulnerabilità nota, e questo acuisce la gravità: le organizzazioni avrebbero potuto prepararsi per tempo. Da notare che se questo è accaduto a causa di incompatibilità dell’aggiornamento con le tecnologie utilizzate: in tal caso, le organizzazioni devono scegliere tra il rischio di malfunzionamenti (stile Libero di pochi giorni fa) e il rischio di attacchi”
Cosa fare con i ransomware
leggi anche
Hacker filorussi attaccano siti del Ministero della Difesa italiano
Il problema rende ancora più evidente la realtà dei ransomware e dei ricatti digitali che vedono l’Italia come primo Paese in Europa e settimo al mondo per numero di attacchi (dati Trend Micro 2022). Come prevenire questi attacchi? Corrado Giustozzi, divulgatore ed esperto di cyber-sicurezza, partner di Rexilience, evidenzia sul Corriere come non “serva predicare belle cose: c’è ancora una ignoranza clamorosa nelle aziende e nella Pubblica amministrazione sulla sicurezza informatica, che da troppi viene vista non come una componete strategica per la sopravvivenza stessa di queste realtà, ma come un qualcosa simile alle lampadine da sostituire o agli ascensori da aggiustare”. Inevitabile, secondo Giustozzi, varare a questo punto “una normativa, anti-attacco, che impedisca anche di pagare per alimentare un circolo vizioso, come i sequestri negli anni ‘70”.