Sull'attacco hacker che ha colpito ieri diversi paesi nel mondo, da quelli europei come Francia - paese più colpito - Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti, c’è stata la massima attenzione da parte del governo italiano vista la conferma di un vertice convocato per oggi da Palazzo Chigi per fare un primo bilancio dei danni provocati e mettere in campo le adeguate contromisure. Presenti all’incontro il sottosegretario Alfredo Mantovano, il direttore dell'Agenzia Roberto Baldoni e la direttrice del Dis, il Dipartimento informazioni e sicurezza Elisabetta Belloni.
Da ricordare che già nelle precedenti settimane, Giorgia Meloni aveva portato sul tavolo del Cdm un'informativa proprio sulla necessità di contrastare la vulnerabilità dei sistemi informatici.
L'attacco hacker tramite ransomware
L’attacco hacker che si è verificato ieri non c’entra nulla dicono con il down della rete Tim che ha lasciato milioni di utenti senza internet e provocando disservizi anche ai bancomat, perché il primo è avvenuto tramite un “ransomware già in circolazione" rilevato dal Computer security incident response team Italia dell'Agenzia per la cybersicurezza nazionale.
Il ransomware è un malware, cioè un "programma malevolo" che cripta i file presenti sul computer che è stato attaccato, rendendoli illeggibili e non più utilizzabili senza una chiave di decifrazione che viene data dagli hacker solo dietro pagamento di un riscatto.
I tecnici dell'Acn hanno già censito "diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi". Tuttavia, si spiega, "rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi".
L'attacco ha preso di mira un particolare tipo di server (VMware ESXi) che presenta una vulnerabilità sfruttata dagli hacker che era stata già corretta in passato dal produttore, ma come sottolinea Acn, non è stata risolta da tutti coloro che usano questo tipo di sistemi, per cui i server presi di mira, se privi delle correzioni adeguate, “possono aprire le porte agli attaccanti” .
In Italia in tanti hanno riscontrato l'attività malevola. Lo sfruttamento della vulnerabilità, spiega ancora l'Agenzia, "consente in una fase successiva di portare attacchi ransomware che cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione".
Vulnerabilità scoperta già due anni fa
Man mano che passano le ore e maggiori sono le notizie sul massiccio attacco hacker di ieri. Alla fine si scopre che il problema che ha preso di mira i server VMware ESXi, oggetto del cyberattack, era conosciuto da almeno 2 anni. “C'è stata sicuramente molta disattenzione” dice l'esperto. In pratica il produttore ha rettificato la vulnerabilità riscontrata ma non gli utilizzatori che per scarsa disponibilità, attenzione, sottovalutazione del problema, non hanno proceduto ad aggiornare i sistemi operativi con la correzione. Inoltre “proprio perché l'incursione è avvenuta sfruttando una vulnerabilità ben conosciuta da 2 anni, l'attacco può essere riconducibile almeno in questo momento a fin troppi gruppi di cyber criminali”. Per ora non rimane che attendere le eventuali richieste di riscatto da parte dei cybercriminali.