Una domenica bestiale quella del 5 febbraio 2023 per la sicurezza informatica e tutti i suoi enti dopo che in Italia è stato segnalato da parte dell'Agenzia per la cybersicurezza Nazionale (ACN) un rilevante attacco ransomware che ha messo k.o migliaia di computer (a livello mondiale) creando un grosso allarmismo in tutta la nazione. L’attacco ha messo k.o una parte di sistemi di Stati Uniti, Canada, Regno Unito e Francia, non è ancora stato rivendicato da nessun gruppo e al momento abbiamo ancora poche informazioni a riguardo. Quello che però è stato annunciato è che si tratta di un attacco ransomware, un tipo di virus che una volta inserito nel sistema riesce a criptare una parte o tutti i file all’interno del sistema rendendoli inaccessibili a chiunque e viene richiesto solitamente di pagare un riscatto in Bitcoin per poter ricevere una chiave di decrittazione che rende i file nuovamente leggibili, anche se molto spesso è accaduto che anche con il pagamento effettuato, i file non sono stati mai restituiti(maggiori dettagli li trovate in questo articolo). L’attacco è stato reso possibile grazie ad una vulnerabilità presente all’interno della piattaforma VMware ESXi hypervisors, vulnerabilità di sistema già conosciuta dal team di VMware che ha rilasciato un aggiornamento correttivo (patch) per risolvere il problema nel 2021, dunque un problema di sicurezza che è stato quasi completamente risolto con la patch correttiva, perciò per chi usufruisce della piattaforma bastava solamente mantenerla aggiornata per essere al sicuro ed evitare spiacevoli sorprese come avvenuto. Ma in Italia e non solo visto la portata dell’attacco, il tema della cybersicurezza è ancora ampiamente sottovalutato e si fa ancora fatica a seguire i consigli di sicurezza, come quelli rilasciati da Kaspersky, per proteggersi il più possibile dalle minacce informatiche e anche meno si aggiornano i sistemi che si utilizzano quotidianamente perchè intanto “se un sistema funziona bene così è meglio lasciarlo stare per evitare problematiche..”
Scarsa conoscenza della cybersecurity, sottovalutazione delle possibili criticità di un sistema non aggiornato e tanti altri fattori hanno fatto si che questo attacco ransomware abbia colpito nel segno anche un buon numero di aziende italiane, un attacco che con pochi semplici click e qualche minuto in più perso a tempo debito per eseguire l’aggiornamento, non sarebbe mai avvenuto. Giampaolo Dedola, Senior Security Researcher, Global Research and Analysis Team (GReAT) di Kaspersky, una delle principali aziende che si occupa di cybersecurity a livello mondiale, ha commentato brevemente quello che è accaduto con questo attacco hacker ricordandoci a tutti come gli attacchi di tipo ransomware si stiano diffondendo sempre di più a livello mondiale, con attacchi più sofisticati ed efficaci:
“La recente campagna d’infezioni ransomware che sta interessando alcuni server ESXi in varie parti del mondo mostra come questo tipo di minaccia sia ancora molto diffusa e che l’applicazione di requisiti di sicurezza minimi, come la mancata installazione puntuale degli aggiornamenti di sicurezza, sia ancora oggi un problema comune. Le informazioni attualmente a disposizione indicano, infatti, che gli attaccanti stanno utilizzando come vettore d’infezione una vulnerabilità nota dal 2021, per la quale sono disponibili pubblicamente dei PoC (proof of concept), esempi di codice che mostrano come sfruttare la vulnerabilità.
Giampaolo Dedola, Senior Security Researcher, Global Research and Analysis Team (GReAT) di Kaspersky
Dalle prime analisi si evince inoltre una similarità tra il ransomware usato in questi attacchi e “Babuk”, un noto ransomware il cui codice è anch’esso disponibile pubblicamente e potrebbe essere stato utilizzato come base di partenza per lo sviluppo del malware. Queste condizioni comportano che anche attaccanti sprovvisti di elevate competenze tecniche possono lanciare azioni offensive di successo. La campagna in questione mette quindi in evidenza il livello di rischio a cui vengono esposte le macchine raggiungibili tramite internet e non protette adeguatamente.
Per dare un’idea della diffusione dei ransomware, possiamo dire che nei primi dieci mesi del 2022, la percentuale di utenti attaccati è quasi raddoppiata rispetto allo stesso periodo del 2021. Questa crescita così impressionante indica che le organizzazioni di ransomware hanno continuato a perfezionare le loro tecniche e a sviluppare nuove varianti di ransomware, nel 2022 ne abbiamo rilevate più di 21.400”.
Se siete interessati ad ulteriori informazioni relative al mondo della sicurezza informatica e agli ultimi annunci divulgati da Kaspersky inerenti proprio alle minacce informatiche e ai rischi che sono presenti nel web, potete leggere i nostri articoli a riguardo.