Roma, 5 Febbraio 2023 – Il Computer Security Incident Response team Italia dell’Agenzia per la Cybersicurezza nazionale ha rilevato un “massiccio attacco hacker tramite un ransomware già in circolazione“.
I tecnici dell’Acn hanno già censito “diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.
I server bersaglio
Sono presi di mira i server VMware ESXi. La vulnerabilità sfruttata dagli attaccanti è già stata corretta nel passato dal produttore, ma, evidenza Acn, “non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta”. Inoltre, se privi delle correzioni adeguate, “possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend”. I primi ad accorgersi dell’attacco sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider nel Paese. Successivamente l’ondata di attacchi si è sposta su altri tra cui l’Italia. In questo sono momento qualche migliaio i server compromessi in tutto il Mondo, dai Paesi europei come Francia – paese più colpito – Finlandia e Italia, fino al Nord America, in Canada e negli Usa.
In Italia sono decine le realtà che hanno riscontrato l’attività malevola nei loro confronti ma – secondo gli analisti – sono destinate ad aumentare. Lo sfruttamento della vulnerabilità, spiega ancora l’Agenzia, “consente in una fase successiva di portare attacchi ransomware che cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione”.
Ransomware
I ransomware sono, nella maggioranza dei casi, trojan diffusi tramite siti web malevoli o compromessi, oppure per mezzo della posta elettronica. In genere si presentano come allegati apparentemente innocui, come, ad esempio, file Pdf, provenienti da mittenti legittimi (soggetti istituzionali o privati). La loro verosimiglianza induce gli utenti ad aprire l’allegato, il quale riporta come oggetto diciture che richiamano fatture, bollette, ingiunzioni di pagamento e altri oggetti simili. Una volta aperto il file, il ransomware entra nel pc o nel telefono della vittima e lo cripta.