Partiamo da un dato di fatto. Il problema che ieri ha colpito la rete TIM non ha niente a che fare con il recente attacco ransomware ai server ESXi.
Non solo. Molti dei commenti generalisti sono stati esagerati, per questo abbiamo deciso di racchiudere le dichiarazione dei principali addetti del settore sul tema partendo da una domanda: “Si può davvero parlare per l’Italia di un attacco hacker su larga scala o si è trattato solo di una vulnerabilità conosciuta sfruttata da cyber criminali?”
Pietro Di Maria conferma che l’allarme lanciato ieri dall’Agenzia per la Cybersicurezza Nazionale ACN riguardava una vulnerabilità nota da febbraio 2021 per la quale il produttore aveva già rilasciato un aggiornamento capace di mitigare l’esposizione. Tecnicamente si tratta di una vulnerabilità legata ai server VMWare ESXi per i quale l’Agenzia Francese ANSSI ha lanciato un alert, rilanciato dalla nostra Agenzia, evidenziando la presenza di innumerevoli server ancora non aggiornati e vulnerabili per attacchi di tipo Ransomware da parte dei criminali informatici. Dichiara Pietro Di Maria, “Il numero dei server compromessi a livello globale al momento è di circa 2000, di cui 19 in Italia. Per tenere traccia dei servizi ESXi compromessi e dell’indirizzo Bitcoin a cui il riscatto dovrebbe essere inviato è stato rilasciato anche uno script da parte del fondatore della piattaforma Shodan raggiungibile ad un indirizzo web diffuso. Questi dati denotano che non vi è in corso un’attacco verso l’Italia ma c’è l’ordinario tentativo di sfruttare vulnerabilità conosciute e non aggiornate da parte degli amministratori di rete”.
E’ stato reso noto che la vulnerabilità consente ai criminali informatici di portare all’esecuzione di codice in modalità remota (RCE) sui sistemi interessati e il vettore di attacco utilizzato per questa campagna potrebbe essere una nuova tipologia di ransomware denominato ESXiArgs, “ransomware” che sfrutta per la maggior parte i comandi di sistema già disponibili di default nelle installazioni vittime, pertanto si stima che non ci sia voluto più di un’ora per realizzarlo. “Dalle analisi effettuate questa tipologia di malware riuscirebbe a cifrare dati di piccola portata, .vmdk .vmx, e non file system e ciò non comporta un rischio inferiore per l’integrità delle infrastrutture mondiali”, continua Di Maria “Per evitare di incappare nell’infezione con questo tipo di malware è sufficiente aggiornare i sistemi VMware ESXi, mentre qualora i sistemi risultassero infettati bisognerà eseguire una pratica di ripristino per rendere nuovamente disponibili i file compromessi, creando un fallback usando flat.vmdk”.
“Sono ormai moltissimi gli attacchi quotidiani alle infrastrutture, attacchi che sono sempre più in crescita, ed è fondamentale sottolinea il Prof. Bacini, non solo garantire la continuità di funzioni essenziali, pensiamo alla sanità, all’energia, o al sistema finanziario, ma anche lavorare per una sempre maggiore diffusione della cultura della cybersicurezza, serve consapevolezza dei pericoli e formazione, partendo dai più giovani ma senza dimenticare gli imprenditori e i professionisti”.
Oggi si deve lavorare sulla formazione per sviluppare consapevolezza cibernetica dei rischi ma è doveroso comunicare che c’è possibilità di mitigarli con un’attenta difesa cyber e con strumenti anche dal punto di vista economico alla portata di tutti.
Giampaolo Dedola, Senior Security Researcher, Global Research and Analysis Team (GReAT) Kaspersky, ha commentato così: “La recente campagna d’infezioni ransomware che sta interessando alcuni server ESXi in varie parti del mondo mostra come questo tipo di minaccia sia ancora molto diffusa e che l’applicazione di requisiti di sicurezza minimi, come la mancata installazione puntuale degli aggiornamenti di sicurezza, sia ancora oggi un problema comune.
Le informazioni attualmente a disposizione indicano, infatti, che gli attaccanti stanno utilizzando come vettore d’infezione una vulnerabilità nota dal 2021, per la quale sono disponibili pubblicamente dei PoC (proof of concept), esempi di codice che mostrano come sfruttare la vulnerabilità. Dalle prime analisi si evince inoltre una similarità tra il ransomware usato in questi attacchi e “Babuk”, un noto ransomware il cui codice è anch’esso disponibile pubblicamente e potrebbe essere stato utilizzato come base di partenza per lo sviluppo del malware. Queste condizioni comportano che anche attaccanti sprovvisti di elevate competenze tecniche possono lanciare azioni offensive di successo. La campagna in questione mette quindi in evidenza il livello di rischio a cui vengono esposte le macchine raggiungibili tramite internet e non protette adeguatamente. Per dare un’idea della diffusione dei ransomware, possiamo dire che nei primi dieci mesi del 2022, la percentuale di utenti attaccati è quasi raddoppiata rispetto allo stesso periodo del 2021. Questa crescita così impressionante indica che le organizzazioni di ransomware hanno continuato a perfezionare le loro tecniche e a sviluppare nuove varianti di ransomware, nel 2022 ne abbiamo rilevate più di 21.400”.
“In questo momento registriamo 791 server compromessi al mondo di cui solo 5 in Italia, mentre la Francia ne ha 220 e gli USA 185. Il fenomeno quindi interessa solo marginalmente l’Italia, vuoi perché gli hacker hanno deciso di colpire maggiormente altre nazioni o vuoi perché l’Italia è stata più efficace nel proteggersi proattivamente installando le difese necessarie, è ancora da appurare – afferma Domenico Raguseo, direttore Cybersecurity di Exprivia. Inoltre, mentre è facile identificare i danni diretti, è più complicato identificare quelli indiretti causati dagli attacchi. Ad esempio, se un server utilizzato per fare un check-in a un mezzo di trasporto non funziona, chi fornisce il servizio ne è immediatamente penalizzato, così come lo è il passeggero che non può portare a termine le sue attività. Queste a volte possono coincidere con l’andare a sottoporsi a un’operazione, e quel ritardo potrà essere un danno indiretto. In un sistema digitale interconnesso e transnazionale – prosegue Raguseo, è difficile attribuire attacchi a gruppi riconducibili a una nazione, e dobbiamo prendere atto che non bisogna mai abbassare la guardia sulle vulnerabilità dei sistemi”.
“L’attacco informatico all’infrastruttura italiana è ben diverso dagli attacchi che normalmente ci racconta la cronaca quotidiana, con danni e data breach rivolti a organizzazioni private. Questo attacco ransomware ha un impatto potenziale che potrebbe riversarsi sull’intera cittadinanza, producendo disagi a livello nazionale, o addirittura globale. I possibili disservizi, da cui dipendiamo, e che si sono verificati in queste ore, sono da attribuire proprio a questo enorme attacco ransomware, una minaccia crescente non solo in Italia, ma in tutto il mondo. Già lo scorso luglio, il nostro threat intelligence, Check Point Research, aveva segnalato un aumento del ransomware del 59%, su base annua e a livello globale. Considerando questa crescita smisurata e l’attacco riportato ieri, è bene ribadire che, in questa era digitale, difendersi e prevenire le minacce informatiche deve essere la priorità numero uno di enti, organizzazioni e utenti privati. Una strategia di cybersecurity che coinvolga tutti, dal singolo cittadino ai vertici governativi è assolutamente vitale.” ha dichiarato Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies. “Il recente e massiccio attacco informatico ai server ESXi è considerato il cyber attack più esteso mai segnalato a macchine non Windows. A rendere ancora più preoccupante la situazione è il fatto che fino a poco tempo fa gli attacchi ransomware erano limitati proprio alle macchine basate su Windows. Gli attori delle minacce ransomware hanno capito quanto siano cruciali i server Linux per i sistemi di enti e organizzazioni. Questo li ha sicuramente spinti a investire nello sviluppo di un’arma informatica così potente e a rendere il ransomware così sofisticato.Secondo quanto analizzato anche dal nostro team di ricerca, l’attacco ransomware non si è fermato solo all’infrastruttura informatica italiana. I criminali informatici hanno sfruttato CVE-2021-21974, una falla già segnalata a febbraio 2021. Ma ciò che può rendere ancora più devastante l’impatto è l’utilizzo di questi server, sui quali solitamente sono in esecuzione altri server virtuali. Quindi, il danno è probabilmente diffuso su ampia scala, più di quanto possiamo immaginare.”
Ecco la riflessione sui rischi per la sicurezza di Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security di Barracuda Networks: “I diffusi attacchi ransomware segnalati contro i sistemi VMware ESXi privi di patch in Europa e nel mondo sembrano aver sfruttato una vulnerabilità per la quale era stata resa disponibile una patch nel 2021. Ciò evidenzia quanto sia importante aggiornare i principali sistemi di infrastruttura software il più rapidamente possibile, sebbene non si tratti di un’operazione facile per le organizzazioni. Nel caso di questa patch, ad esempio, le aziende devono disattivare temporaneamente parti essenziali della loro infrastruttura IT. Tuttavia, è preferibile affrontare questo tipo di inconveniente piuttosto che essere colpiti da un attacco potenzialmente distruttivo.
Fondamentale è proteggere l’infrastruttura virtuale che può rivelarsi un bersaglio interessante per il ransomware, poiché spesso esegue servizi o funzioni business critical. Un attacco riuscito può avere gravi ripercussioni. Ecco perché è particolarmente importante far sì che l’accesso alla console di gestione di un sistema virtuale sia protetto e non possa essere facilmente raggiungibile attraverso, ad esempio, un account compromesso sulla rete aziendale.
Per assicurare una protezione completa, è importante isolare l’infrastruttura virtuale dal resto della rete aziendale, preferibilmente nell’ambito di un approccio Zero Trust. Le organizzazioni che utilizzano ESXi devono assicurarsi immediatamente l’aggiornamento alla versione più recente, se non l’hanno già fatto, ed effettuare una scansione completa della sicurezza dei server per verificare che non siano stati compromessi”.
“Il rischio, se non si inverte la situazione, è quello di avere un Paese infarcito di innovazione digitale, ma che è un colabrodo a livello di security“. E’ l’allarme lanciato dall’avvocato ed esperto di diritto dell’innovazione Andrea Lisi, presidente di Anorc Professioni,.
“A quanto si legge- spiega parlando con l’agenzia Dire- gli attacchi dipendono da un ‘ransomware già in circolazione’ e che ha già ‘compromesso’ diversi sistemi nazionali. L’attacco ha preso di mira i server VMware ESXi, sfruttando una vulnerabilità che era stata già individuata e risolta nel febbraio 2021 da Vmware, ma molti non hanno applicato la correzione indicata dall’azienda attraverso i necessari aggiornamenti, lasciando i propri sistemi facilmente hackerabili. Si stanno cercando di contenere i continui attacchi attraverso un’azione corretta di comunicazione degli esperti di Acn, i quali hanno cercato di allertare in queste ore diversi soggetti – istituzioni, aziende pubbliche e private – i cui sistemi risultano ancora oggi esposti e, quindi, vulnerabili”.
“La situazione è particolarmente grave- sottolinea ancora l’avvocato Lisi- perché ancora una volta ha scoperchiato un vaso di pandora sull’insicurezza digitale in cui versa il nostro Paese. E da ciò che appare anche in questo caso, non si tratta (solo) di arretratezza tecnologica, ma di una gravissima carenza culturale. Se aziende e Pa risultano scoperte nei loro sistemi informativi perché non eseguono semplici aggiornamenti su vulnerabilità scoperte due anni fa vuol dire che qualcosa non sta funzionando a livello di formazione e informazione diffusa sulle materie legate alla (necessaria) digitalizzazione del Paese. Ma non c’è digitalizzazione senza sicurezza informatica e protezione dei dati personali, altrimenti si rischia di innamorarsi di slogan, magari investendo enormi fondi Pnrr sulle tecnologie più di moda, senza rendersi conto che si tratta sempre di strumenti da conoscere e sviluppare con attenzione e con i necessari presupposti. Un’autovettura Formula 1 o uno strike fighter non possono essere guidati da chiunque non sia adeguatamente addestrato. E nessuno sembra rendersene conto” conclude amaramente l’esperto.