Inizialmente celatosi dietro il down di una delle principali compagnie telefoniche italiane, il massiccio attacco hacker via ransomware di ieri ha colpito duramente Europa e Nord America con conseguenze importanti anche nel nostro Paese. A segnalarlo Csirt Italia (Agenzia cyber nazionale), come già venerdì sera lo Csirt francese. Al centro della vicenda, numerose vulnerabilità, note da anni, dei server Vmware Esxi, molto utilizzati.
Il down di Tim
Un attacco venuto alla luce nel giorno in cui la rete Tim è andata in down, anche se sia l’azienda sia la polizia postale hanno escluso che il problema fosse dovuto a un attacco di pirati informatici. Sulla rete di Tim era stato rilevato un problema di interconnessione al flusso dati su rete internazionale che, ha spiegato l’azienda, ha generato un impatto anche in Italia. Il problema è stato risolto nell’arco della stessa giornata, durante la quale si sono susseguite segnalazioni degli utenti che su Twitter hanno creato l’hashtag #timdown, diventato trend topic, segnalando i disservizi a internet e telefoni.
Tra gli esperti che si occupano di cybersicurezza, però, è anche circolata l’ipotesi che si sia verificato un problema sui router di Sparkle, la società di Tim che gestisce tra l’altro i cavi in fibra ottica, che potrebbe essere collegato all’attacco. Sul punto al momento sarebbero ancora in corso una serie di analisi approfondite.
Nelle stesse ore in cui Tim è andata in down è scattato nel nostro Paese l’allarme dell’Agenzia per la cybersicurezza nazionale: il Computer security incident response team Italia – l’organismo cui spetta il monitoraggio degli incidenti e l’intervento in caso di attacchi – ha scoperto che gli hacker sono entrati in azione attraverso un “ransomware già in circolazione” che ha già “compromesso” decine di sistemi. Non solo: gli esperti dell’Agenzia guidata da Roberto Baldoni sono riusciti ad allertare diversi soggetti (istituzioni, aziende pubbliche e private) i cui sistemi risultano esposti e dunque vulnerabili agli attacchi, ma “rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario”.
L’attacco ransomware
Gli attacchi ransomware sono divenuti “popolari” negli ultimi anni e tornati alla ribalta circa due anni quando presero di mira la Colonial Pipeline negli Stati Uniti. Il ransomware è un tipo di malware che impedisce o limita l’accesso degli utenti al proprio sistema, bloccando lo schermo o i file personali fino a quando non viene pagato un riscatto. Famiglie di ransomware più moderne, collettivamente classificate come cryptoransomware, crittografano determinati tipi di file su sistemi infetti e costringono gli utenti a pagare il riscatto attraverso determinati metodi di pagamento online per ottenere una chiave di decrittazione. I prezzi del riscatto variano a seconda della variante del ransomware e del prezzo o dei tassi di cambio delle valute digitali. Ad una prima analisi, pare che nel caso italiano, la compromissione mira a mandare offline i server dei relativi siti di servizi, chiedendo un riscatto per la riattivazione tramite un codice script di decrittazione: i criminali danno tre giorni per pagare una cifra di due bitcoin, 42.200 euro circa.
Un bug vecchio di due anni
Le agenzie di sicurezza informatica in Europa stanno avvertendo di attacchi ransomware che sfruttano un bug del computer vecchio di due anni mentre l’ufficio del premier italiano ha detto domenica sera che gli attacchi che hanno colpito i sistemi informatici nel Paese hanno coinvolto “ransomware già in circolazione” in un prodotto realizzato dal fornitore di tecnologia cloud VMware. Un bollettino tecnico di venerdì di un’agenzia di sicurezza informatica francese afferma che le campagne di attacco prendono di mira gli hypervisor VMware ESXi, che vengono utilizzati per monitorare le macchine virtuali.
VMware, con sede a Palo Alto, in California, ha corretto il bug nel febbraio 2021, ma gli attacchi prendono di mira versioni precedenti del prodotto: poche ore fa la US Cybersecurity and Infrastructure Security Agency ha dichiarato che “sta lavorando con i nostri partner del settore pubblico e privato per valutare l’impatto di questi incidenti segnalati e fornire assistenza ove necessario”.
Dalle prime indagini Francia, Finlandia e Italia sono i paesi più colpiti in Europa, mentre anche Stati Uniti e Canada hanno riscontrato un numero elevato di obiettivi. L’attacco, avendo preso di mira i server VMware ESXi, può aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend. Al momento i server compromessi sono qualche migliaio in tutto il mondo, dalla Francia alla Finlandia, dal Canada agli Stati Uniti fino appunto all’Italia dove, stando a quanto accertato finora, decine di realtà hanno hanno già riscontrato l’attacco nei loro confronti. Decine di aziende, invece, potrebbero non sapere ancora di essere state sotto attacco.
I server presi di mira, se privi delle patch, cioè delle “correzioni” adeguate, possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend. I primi ad accorgersene sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in Francia. Successivamente l’ondata di attacchi si è sposta su altri paesi tra cui l’Italia. Dunque, potrebbe non essere finita qui.
Cosa dobbiamo aspettarci
Al contempo, sembra aver superato brillantemente l’attacco del 2 febbraio scorso sferrato dal gruppo ransomware Black Basta, l’azienda energetica romana Acea, la quale ha annunciato di aver ripristinato la funzionalità dei propri sistemi informatici. I siti internet del Gruppo e delle piattaforme online per la gestione degli aspetti commerciali delle forniture di acqua, elettricità e gas risultano operativi, così come per i clienti il servizio di contact center delle società del Gruppo, tra cui Acea Ato 2, Areti e Acea Energia.
Dobbiamo prepararci al peggio? Da più parti esperti ed analisti sembrano ormai in attesa del “big one“, l’attacco decisivo che potrebbe davvero mandare in tilt i sistemi occidentali di controllo e sicurezza. Tuttavia, la “buona notizia” è che le generazioni di ransomware sono longeve e per evolvere impiegano del tempo: ergo, gli attacchi informatici dei prossimi anni dovrebbero essere tecnologicamente simili a quelli che abbiamo imparato a conoscere in questi ultimi mesi, il che ci rende più preparati a fronteggiarli. Due elementi, invece, potrebbero renderli più frequenti di prima, soprattutto per i singoli individui: la diffusione dell’Internet delle cose, ma soprattutto lo smartworking: i dati rivelano un panorama di minacce informatiche senza precedenti, nel quale gli hacker hanno saputo sfruttare al massimo il terreno di attacco, in costante espansione, rendendo l’”ufficio di casa” la porta per le reti aziendali di tutto il mondo.
Difficile invece stabilire l’originale intento di questi attacchi. L’esistenza stessa di un “riscatto” fa di questi gruppi una “semplice” evoluzione di tradizionali gruppi criminali. Meno sappiamo su quanto questi attacchi possano essere connessi ad attività di spionaggio o cyberterrorismo, componente fondamentale, ormai, della guerra in Ucraina. All’indomani degli eventi, nel frattempo, è in corso a Palazzo Chigi l’incontro tra il sottosegretario Alfredo Mantovano, autorità delegata per la Sicurezza della Repubblica, il direttore di Acn, Roberto Baldoni, e la direttrice del Dipartimento informazione e sicurezza, Elisabetta Belloni sull’attacco. La riunione servirà anche a fare un primo bilancio dei danni provocati dagli attacchi.