L’Agenzia per la Cybersicurezza Nazionale (ACN) ha segnalato che il 5 febbraio è avvenuto un attacco hacker su scala mondiale causato da un ransomware. Coinvolte decine di nazioni.
Gli hacker hanno fatto breccia sui sistemi di virtualizzazione “VMware ESXi” che non avevano applicato la correzione indicata dall’azienda nel febbraio 2021. L’evento non sembra correlato al malfunzionamento della rete TIM avvenuto nella stessa giornata. Il 6 febbraio annunciato un vertice straordinario a Palazzo Chigi per un bilancio dei danni subiti. Ma cos’è un ransomware e com’è possibile difendersi da essi?
I riscatti virtuali
Un ransomware è un tipo di malware speciale, con cui l’hacker penetra in un computer per “prenderne in ostaggio” i dati. Il ransomware pone limitazioni all’accesso d’informazioni chiave all’interno del computer, pretendendo un riscatto (“ransom”, appunto) dalla vittima per renderle nuovamente disponibili.
Già i primi ransomware, in passato, sono riusciti a estorcere milioni, come nel caso di CryptoLocker nel 2013 o WannaCry nel 2017. Ma se in questi casi le contromisure sono state prese dopo la comparsa dei ransomware, l’attacco del 5 febbraio è avvenuto a partire da una criticità già nota da anni, per la quale non tutti i server nazionali erano corsi ai ripari.
Cronologia dell’attacco
I primi segnali d’allarme sono giunti dalla Francia – il paese che sembrerebbe aver subito gli attacchi più pesanti – per poi spostarsi sull’Italia, che ha prontamente individuato e segnalato la minaccia globale.
Roberto Baldoni, ethical hacker a capo di ACN, ha lanciato ufficialmente l’allarme. Ha fatto sapere che l’attacco ha riguardato decine di altre nazioni, tra cui Finlandia, Stati Uniti e Canada. «Rimangono ancora alcuni sistemi esposti – ha aggiunto Baldoni – non compromessi, dei quali non è stato possibile risalire al soggetto proprietario». Lo sfruttamento della criticità, spiega l’ACN, «consente in una fase successiva di portare attacchi ransomware che cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione».
Cos’è VMware ESXi?
Si tratta di un hypervisor, una componente necessaria a generare un sistema di virtualizzazione. L’hypervisor agisce sull’hardware, detto host (“ospitante”). Dall’host si possono generare più guest (“ospiti”), in grado di condividere le risorse rese disponibili dall’hypervisor in più di un sistema operativo. È il meccanismo alla base del funzionamento di quasi tutti i software aziendali, pubblici e dei collegamenti VPN (Virtual Private Network), di solito necessari a un esterno per collegarsi a una rete sicura.
Gli hypervisor sono stati ideati negli anni ’70 da IBM. Da allora sono essenziali a livello informatico per ottimizzare le risorse dell’hardware e diminuire la mole di dati da comunicare. Oggi tra i principali software per la virtualizzazione abbiamo VirtualBoX e – appunto – VMware. “ESXi” è la componente amministrativa del pacchetto VMware.
Come difendo il pc da un ransomware?
La prima risposta è apparentemente la più banale: i computer meglio difesi sono quelli sempre aggiornati, e con un sistema antivirus valido. L’attacco del 5 febbraio ne è l’ennesima conferma.
Nel 2021, gli attacchi ransomware hanno rappresentato il 21% di tutti gli attacchi informatici, con un costo complessivo di circa 20 miliardi di dollari. E secondo i dati pubblicati da Karspersky, nel 2022 gli attacchi con ransomware sono quasi raddoppiati. Le vittime più frequenti sono le grandi aziende o enti pubblici, che hanno in genere più risorse e dati sensibili da riscattare.
In generale i ransomware possono entrare nel vostro pc solo tramite i soliti metodi dei malware. Diffidate pertanto dalle mail con allegati sospetti, dalle richieste di fornire i vostri dati personali e dai link della cui identità non siete sicuri. Attenzione anche alle chiavette USB altrui, che potrebbero essere state “infettate” con un ransomware in un computer terzo, anche all’insaputa del proprietario.
Commenti dal mondo politico
Gli attacchi #Ransomware sono sempre più frequenti e sono un pericolo per la nostra sicurezza se riguardano infrastrutture strategiche. Con #acn abbiamo rafforzato prevenzione ma servono risorse maggiori per ridurre vulnerabilità. https://t.co/AwG9Z39RsC pic.twitter.com/YuiqgZKeSx
— Federica Dieni (@federicadieni) February 5, 2023
Federica Dieni, componente della Commissione Affari Costituzionali e Vicepresidente del COPASIR è stata una delle prime voci del panorama politico italiano a preoccuparsi dell’attacco hacker del 5 febbraio. La Presidente del Consiglio Giorgia Meloni aveva fatto presente la necessità di contrastare la vulnerabilità dei sistemi informatici.
All’incontro del 6 febbraio richiesto da Palazzo Chigi ci saranno il sottosegretario Alfredo Mantovano, il direttore dell’Agenzia Roberto Baldoni e la direttrice del Dipartimento Informazioni e Sicurezza (DIS) Elisabetta Belloni. «L’attacco – ha affermato il Ministro Adolfo Urso – ci rafforza nella convinzione che sulla rete e in generale sulla cyber sia importante garantire il massimo livello di sicurezza».