Tutto è cominciato da un avviso dell’Agenzia per la Cybersicurezza nazionale (Acn). Nel tardo pomeriggio del 5 febbraio il Computer Security Incidente Response Team ha diramato una segnalazione da cui si poteva leggere che era cominciata un’ondata di attacchi ransomware in tutto il mondo. Oltre all’Italia sono stati colpiti anche Francia, Canada e Stati Uniti. In poche ore si è mosso anche Palazzo Chigi che ha convocato un vertice per le 9.00 del 6 febbraio.

Il giorno dopo l’attacco le nebbie di guerra cominciano a diradarsi e adesso comincia ad essere più chiara la portata di quello che è successo. Ora cerchiamo di fare chiarezza e spiegare cosa potrebbe succedere. Per adesso sembra evidente che questa serie di attacchi non sono collegati né al down che ha colpito Tim nella giornata del 5 febbraio e nemmeno l’attacco hacker ad Acea.

Cosa sappiamo sull'attacco hacker che ha colpito l'Italia

Partiamo dai dati. Nel suo avviso l’Agenzia per la Cybersicurezza nazionale (Acn) parlava di “qualche migliaio di server compromessi” e di ricadute su “decine di server in Italia”. Una prima analisi si può fare facendo una ricerca su portali indipendenti come Shodan, un motore di ricerca (particolarmente caro agli hacker) in cui si possono trovare tutti i dispositivi collegati a internet. Qui si vede che al momento i server compromessi nel mondo sono 2.100, in Italia parliamo di qualche decina.

Questi dati sono stati confermati a Fanpage.it da Stefano Zanero, professore di Sistemi di Elaborazione delle Informazioni al Politecnico di Milano: “Il mio ultimo conteggio è contato 19 sistemi colpiti in Italia. Non sta crollando il cielo, su internet succedono cose peggiori tutti i giorni. L’attacco però è significativo: ha colpito un software usato da aziende di una certa dimensione e quindi è stato giusto che Acn pubblicasse quel comunicato avvisando tutti di aggiornare il software. Forse dopo c’è stato un po’ troppo clamore sui media”.

L’obiettivo degli attacchi hacker: gli hypervisor VMware ESXi

L’obiettivo dell’attacco sono stati gli hypervisor VMware ESXi, Vmware è una società con sede a Palo Alto, in California, che si è specializzata nello sviluppo di virtual machine. In termini molto generici si tratta di software in grado di creare dei computer virtuali, delle macchine che invece di utilizzare per le loro operazioni delle componenti fisiche di un pc “prendono in prestito” queste prestazioni da una serie di server.

L’hypervisor VMware ESXi è usato de migliaia di aziende in tutto il mondo, un dato che spiega perché l’attacco è così diffuso. Qui Stefano Zanero ha spiegato che solo aziende che si occupano di grandi quantità di dati possono averne bisogno: “ESXi è un componente utilizzato nelle architetture software di grandi aziende. Se io ho a disposizione cento serve fisici, posso lavorare con ESXi per crearne mille virtuali. La falla era nota da due anni. Teoricamente però questo sistema non dovrebbe essere un sistema esposto a internet”.

Questa ondata di attacchi ransomware era già stata identificata nei giorni scorti dal Computer Emergency Response Team (Cert) francese. Nei suoi messaggi si può anche leggere che la vulnerabilità colpita dagli hacker era nota da tempo. E anzi. Da almeno due anni era stata rilasciata una patch di sicurezza: “Queste campagne di attacco sembrano sfruttare CVE-2021-21974, per il quale è disponibile una patch dal 23 febbraio 2021″.

Non c'è correlazione con i down di Tim e Acea

Non è ancora chiaro chi ci sia dietro questo attacco. Potrebbe trattarsi anche di una ransomware gang nuova o di un sottogruppo ancora non tracciato. In ogni caso non ci sono elementi in questo momento per stabilire delle correlazioni con il down di Tim che si è verificato il 5 febbraio e nemmeno con l’attacco hacker subito da Acea nella scorsa settimana.

Cos'è un ransomware e quali sono le cause dell'attacco hacker

I ransomware sono dei ladri particolarmente abili con la serratura, arrivano in un appartamento, la cambiano e poi chiedono una busta di contanti per dare la nuova chiave. In tutto questo con buona probabilità fanno una copia di tutti le informazioni sensibili che trovano e provano a rivenderle su tutti i mercati neri in cui riescono ad entrare.

La parola ransomware nasce dalla fusione tra “ransom”, riscatto, e malware. Negli ultimi anni questo tipo di attacco è diventato particolarmente diffuso. I gruppi di cyber criminali sono diventati bravi a introdursi nei sistemi operativi, soprattutto quelli di amministrazioni pubbliche e piccole e medie imprese. Il ransomware può arrivare i decine di modi, anche scaricando un allegato malevolo da una mail arrivata sulla casella di posta di un dipendente. Una volta in funzione, se non trova ostacoli, avvia un processo di cifratura che rende impossibile ai suoi proprietari accedere ai dati.

Il pagamento avviene sotto forma di Bitcoin. Nel caso dell’ondata di attacchi ransomware che ha colpito migliaia di server in tutto il mondo sembra che il riscatto sia stato fissato a 2 Bitcoin, secondo il cambio di oggi parliamo di circa 42.000 euro. Il modo migliore per difendersi da un ransomware è quello di aggiornare sempre i software, soprattutto quelli esposti a internet. Spesso infatti vengono sfruttate, come in questi caso, falle nei sistemi riparabili con una patch di sicurezza.

Il vertice a Palazzo Chigi: "Nessuna azienda primaria colpita"

Alle 9.00 di questa mattina è cominciato il vertice a Palazzo Chigi per verificare cosa sia successo e soprattutto capire meglio la portata e le conseguenze dell’attacco segnalato da Acn. Al vertice hanno partecipato il sottosegretario Alfredo Mantovano, il direttore di Acn Roberto Baldoni e la direttrice del Dipartimento informazione e sicurezza (Dis), Elisabetta Belloni. Nella nota pubblicata dopo l'incontro il governo ha spiegato che nessun sistema critico è stato colpito: "Pur nella gravità dell’accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita".

Palazzo Chigi ha azzardato anche una metafora pandemica: "Per fare una analogia con l’ambito sanitario, è accaduto come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a una opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute per chi a quella prevenzione non abbia ottemperato". Smentita ogni ipotesi di attacco da altri Stati: "Non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un riscatto".