È stata registrata una diffusione su vasta scala di una serie di ransomware che hanno preso di mira migliaia di server informatici in tutto il mondo, sopratutto in Italia.
L’operazione è stata probabilmente messa in piedi da un gruppo di hacker indipendenti, quindi che non appartengono a nessun governo o entità statali, almeno secondo quanto dichiarato lunedì dal governo italiano.
L’Italia mette in guardia il mondo
L’Agenzia per la cybersicurezza nazionale italiana(ACN), domenica scorsa, ha avvertito i governi di tutto il mondo di prendere provvedimenti immediati per proteggere al meglio i propri sistemi informatici: un consiglio, come già accennato, arrivato dopo il grave attacco hacker a danno dei server informatici italiani e di altri paesi.
Secondo l’Agenzia, migliaia di computer in tutto il mondo sono stati compromessi da un massiccio attacco di ransomware. Parlando con l’agenzia di stampa Reuters, Roberto Baldoni, direttore generale dell’ACN, ha dichiarato che l’attacco hacker su vasta scala ha cercato di sfruttare una vulnerabilità dei software già nota. Se non sapete cosa sia un ransomware, sappiate che è un tipo di virus che può prendere il controllo del computer dell’utente ed è in grado di crittografare anche i dati del pc.
Un’epidemia da ransomware
Malware di questo genere posso essere utilizzati per minacciare di pubblicare i dati personali della vittima o di bloccarne definitivamente l’accesso, per poi richiedere un riscatto. Mentre alcuni semplici ransomware possono bloccare il sistema senza danneggiare alcun file, i malware più avanzati utilizzano una tecnica chiamata estorsione criptovirale: cifra i file della vittima, rendendoli inaccessibili, e in questi casi gli hacker possono approfittarne chiedendo il pagamento di un riscatto per decifrarli.
I server sono stati compromessi in tutto il mondo, tra cui Stati Uniti, Canada, Finlandia e Francia, ha riferito l’agenzia di stampa italiana ANSA, citando l’ACN. È molto probabile che le organizzazioni di tutta Italia siano state colpite da questo attacco e per evitare di essere bloccati dai loro stessi sistemi, l’ACN li ha esortati a prendere misure preventive. In una nota pubblicata sul sito web, l’ACN afferma che “lo sfruttamento massiccio, ai fini del rilascio di ransomware, della vulnerabilità CVE-2021-21974” era già stata rilevata dal Computer Security Incident Response Team (Csirt) in un precedente avviso.
“Sulla relativa campagna, il Computer Emergency Response Team francese (Cert-Fr) ha pubblicato un avviso di sicurezza, disponibile nella sezione riferimenti, che evidenzia i relativi dettagli. Dalle analisi effettuate, la campagna è diretta anche verso soggetti nazionali”, si legge nella nota.
Secondo le dichiarazioni l’hack è stato identificato il 3 Febbraio e ha raggiunto il suo apice domenica: gli hacker stavano sfruttando un exploit software identificato per la prima volta già due anni fa, precisamente nel Febbraio 2021: “Alcuni dei destinatari di quel consiglio hanno preso in debita considerazione l’avvertimento, altri non l’hanno fatto e purtroppo ora ne stanno pagando le conseguenze”, ha aggiunto il comunicato. Tutto questo nonostante un portavoce di VMware ha dichiarato di aver rilasciato un aggiornamento nel 2021 che risolveva il problema, invitando i suoi clienti a patchare i loro sistemi.
Gli stati più colpiti dagli hacker
L’attacco ha colpito migliaia di server in tutto il mondo, secondo i dati compilati dalla società di cybersicurezza statunitense Censys, con la maggior parte dei server colpiti in Francia, seguono Stati Uniti e Germania: “L’azione è stata in qualche modo efficace, ma ha avuto un impatto misto. Alcune organizzazioni hanno recuperato le loro macchine virtuali senza doverle ripristinare da un backup”, ha dichiarato Daniel Card, consulente di sicurezza informatica con sede in Gran Bretagna, “Sembra che l’attacco sia rivolto principalmente alle vittime dei Paesi occidentali, ma non sembra molto sofisticato”.
I responsabili della sicurezza informatica degli Stati Uniti hanno dichiarato che stanno esaminando gli incidenti segnalati: “La CISA sta lavorando con i nostri partner del settore pubblico e privato per valutare l’impatto di questi incidenti segnalati e fornire assistenza dove necessario”, ha dichiarato alla Reuters l’Agenzia statunitense per la sicurezza informatica e delle infrastrutture. Il comunicato consiglia a qualsiasi organizzazione che abbia subito un incidente di cybersicurezza di segnalarlo all’FBI o alla CISA.
In questi ultimi giorni gran parte dell’Italia è stata colpita da una massiccia interruzione della connessione Internet, ma il problema riscontrato da Telecom Italia pare che non sia in alcun modo collegato all’attacco hacker: TIM ha attribuito l’incidente a un guasto di un collegamento internazionale.