Attacco Cyber alI’Italia : cosa è successo davvero

Attacco Cyber alI’Italia: l’Italia ha subito un attacco cyber di tipo ransomware secondo l’Agenzia nazionale per la sicurezza informatica


Un attacco Cyber alI’Italia, ha colpito numerosi sistemi informatici in Italia e nel mondo nei primi giorni di febbraio 2023. L’Agenzia nazionale per la sicurezza informatica italiana ACN ha avvertito le organizzazioni statali e le aziende italiane di agire per proteggere i propri sistemi informatici, poiché migliaia di computer in tutto il mondo sono stati attaccati da ransomware che prendeva di mira i server VMware (WMW.N) ESXi. Il Governo italiano ha diramato un comunicato stampa sull’attacco cyber e ha spiegato che è stata organizzata una riunione di sicurezza per verificare i danni e preparare una soluzione ai possibili disagi causati dagli hacker autori dell’offensiva informatica.

Attacco Cyber all’Italia: cosa è successo davvero

Attacco cyber all’Italia, la risposta di VMware

Roberto Baldoni, il direttore generale di ACN, ha detto a Reuters che l’attacco cyber stava cercando di trovare ed esporre una vulnerabilità nei software, aggiungendo che il problema stava avvenendo su larga scala. Oltre che in Italia, gli hacker hanno preso di mira i server VMware in altre nazioni come Francia, Finlandia, Canada e Stati Uniti, secondo la stessa ACN. Un rappresentante di VMware ha dichiarato alle agenzie di stampa di essere a conoscenza degli incidenti e di aver rilasciato patch per proteggere i sistemi dall’esposizione di una vulnerabilità che i cybercriminali stanno provando a sfruttare. “La sicurezza informatica è un componente chiave per prevenire gli attacchi di ransomware e i clienti che eseguono versioni di ESXi interessate da CVE-2021-21974 e non hanno ancora applicato la patch dovrebbero utilizzarla al più presto”.

Raffaele Gigantino, Country Manager di VMware Italia ha immediatamente dichiarato: “La sicurezza dei nostri clienti è una priorità assoluta per VMware. Da subito ci siamo attivati direttamente con le autorità preposte, i nostri clienti e i nostri partner. Secondo quanto riportato pubblicamente, una variante di ransomware denominata ESXiArgs sembra sfruttare CVE-2021-21974, una vulnerabilità di due anni fa per la quale sono state rese disponibili le patch nel security advisory di VMware del 23 febbraio 2021. La security hygiene è una componente fondamentale per prevenire gli attacchi ransomware e i clienti che utilizzano versioni di ESXi affette da CVE-2021-21974 e non hanno ancora applicato la patch devono agire come indicato nell’avviso. Ulteriori indicazioni per l’hardening di ESXi sono disponibili nella Security Configuration Guide di VMwareVMware consiglia a tutti i clienti di iscriversi alla nostra mailing list di avvisi di sicurezza e di visitare il nostro Ransomware Resource Center per una guida dettagliata sulla prevenzione, il rilevamento e la risposta al ransomware”.

Attacco Cyber all’Italia: i commenti

“La recente campagna d’infezioni ransomware che sta interessando alcuni server ESXi in varie parti del mondo mostra come questo tipo di minaccia sia ancora molto diffusa e che l’applicazione di requisiti di sicurezza minimi, come la mancata installazione puntuale degli aggiornamenti di sicurezza, sia ancora oggi un problema comune. Le informazioni attualmente a disposizione indicano, infatti, che gli attaccanti stanno utilizzando come vettore d’infezione una vulnerabilità nota dal 2021, per la quale sono disponibili pubblicamente dei PoC (proof of concept), esempi di codice che mostrano come sfruttare la vulnerabilità. Dalle prime analisi si evince inoltre una similarità tra il ransomware usato in questi attacchi e “Babuk”, un noto ransomware il cui codice è anch’esso disponibile pubblicamente e potrebbe essere stato utilizzato come base di partenza per lo sviluppo del malware” ha affermato Giampaolo Dedola, Senior Security Researcher, Global Research and Analysis Team (GReAT) Kaspersky.

“Anche nel 2022 l’Italia si è confermata tra i Paesi europei più colpiti da attacchi malware e ransomware, spesso veicolati attraverso lo sfruttamento di vulnerabilità. Casi come questo confermano l’importanza di mantenere la soglia di attenzione sempre molto alta. È prioritario dotarsi di sistemi di protezione adeguati e provvedere costantemente alla manutenzione e all’aggiornamento delle infrastrutture di difesa, per evitare di dover pagare poi pesanti dazi in termini di reputazione, disservizi alla propria clientela e multe per non aver rispettato le normative. Una strategia in questi casi può essere quella di adottare sistemi di virtual patching in grado di proteggere i propri sistemi anche prima del rilascio delle patch ufficiali da parte dei produttori dei sistemi colpiti” ha sottolineato Salvatore Marcis, Technical Director Trend Micro Italia.

“L’attacco informatico all’infrastruttura italiana è ben diverso dagli attacchi che normalmente ci racconta la cronaca quotidiana, con danni e data breach rivolti a organizzazioni private. Questo attacco ransomware ha un impatto potenziale che potrebbe riversarsi sull’intera cittadinanza, producendo disagi a livello nazionale, o addirittura globale.
I possibili disservizi, da cui dipendiamo, e che si sono verificati in queste ore, sono da attribuire proprio a questo enorme attacco ransomware, una minaccia crescente non solo in Italia, ma in tutto il mondo” ha detto Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies- “Secondo quanto analizzato anche dal nostro team di ricerca, l’attacco ransomware non si è fermato solo all’infrastruttura informatica italiana. I criminali informatici hanno sfruttato CVE-2021-21974, una falla già segnalata a febbraio 2021. Ma ciò che può rendere ancora più devastante l’impatto è l’utilizzo di questi server, sui quali solitamente sono in esecuzione altri server virtuali. Quindi, il danno è probabilmente diffuso su ampia scala, più di quanto possiamo immaginare” ha concluso Torriani.

Riguardo l’attacco cyber all’italia Federico Spadaro, Senior System Engineer R1 Group, aggiunge: “I paesi dove sono stati riscontrati migliaia di server down sono: Francia, Finlandia, Nord America, Canada, Stati Uniti e Italia (alcuni). L’attacco sta sfruttando la già ben nota vulnerabilità CVE-2021-21974, del 23 febbraio 2021, oltre alla quale ne sono state identificate altre che potrebbero essere sfruttate remotamente per l’esecuzione di codice. Secondo un’analisi di Bleeping Computer potrebbe trattarsi di una nuova famiglia di ransomware, che l’esperto di ID Ransomware Michael Gillespie ha battezzato con il nome di “ESXiArgs”. Ovviamente è necessario ed importante sottolineare che non si corre il rischio di essere attaccati nei due seguenti casi: 1 ) qualora il servizio SLP sia stato disabilitato; 2) qualora il servizio SLP non sia esposto all’accesso di CIM clients. VMware poi ha rilasciato un KB con il workaround per il CVE-2021-21974 che copre anche la CVE-2022-31699 How to Disable/Enable the SLP Service on VMware ESXi (76372)”

Cyberattack in Italia

Secondo Reuters, dozzine di organizzazioni in Italia rischiano di essere attaccate e molte altre sono state avvertite di applicare le patch rilasciata da VMware. Qualsiasi azienda presa di mira potrebbe essere bloccata dall’utilizzare i propri sistemi a causa del ransomware, ovvero un attacco informatico che i malviventi eliminano in caso di pagamento di un riscatto. Il ransomware è una forma di malware che blocca i file dei computer colpiti, con gli hacker che richiedono il pagamento per fornire una chiave di crittografia e far ritornare i sistemi al loro corretto funzionamento. Alcuni siti di cybersecurity spiegano che il software utilizzato sembra innocuo e di solito proviene da indirizzi e-mail aziendali e incoraggia gli utenti ad aprirlo.

Attacco Cyber all’Italia, Palazzo Chigi al lavoro

“In merito all’attacco hacker verificatosi su scala mondiale, la riunione tenuta stamane a Palazzo Chigi, coordinata dal Sottosegretario con la delega alla Cybersecurity Alfredo Mantovano, con l’ing. Roberto Baldoni e l’amb. Elisabetta Belloni, è servita a verificare che, pur nella gravità dell’accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita” si legge nel comunicato stampa di Palazzo Chigi. ACN e Polizia Postale stanno lavorando per scovare gli autori dell’attacco e per il momento escludono l’interferenza di soggetti statali o governi ostili. La richiesta di riscatto fa infatti a pensare ad hacker indipendenti in cerca di un pagamento in denaro. Il Governo adotterà tempestivamente un DPCM per raccordare il fondamentale lavoro di prevenzione delle Regioni con ACN. Nel contempo la stessa agenzia istituzionalizzerà un tavolo di interlocuzione periodica con tutte le strutture pubbliche e private che erogano servizi critici per la Nazione, a cominciare dai Ministeri e dagli istituti di credito e assicurativi. In attesa di scoprire gli hacker dietro all’attacco cyber che ha colpito l’Italia, il consiglio è quello di controllare le email in arrivo ed affidarsi ad esperti di sicurezza informatica.


Attacco Cyber alI’Italia : cosa è successo davvero - Ultima modifica: 2023-02-06T18:37:13+00:00 da Andrea Indiano

Giornalista con la passione per il cinema e le innovazioni, attento alle tematiche ambientali, ha vissuto per anni a Los Angeles da dove ha collaborato con diverse testate italiane. Ha studiato a Venezia e in Giappone, autore dei libri "Hollywood Noir" e "Settology".

e-book guida ecm

Non rimanere indietro, iscriviti ora

Ricevi in tempo reale le notizie del digitale

Iscrizione alla Newsletter

controlla la tua inbox per confermare l'iscrizione

Privacy Policy

Grazie! Ora fai parte di Digitalic!