"Sistemi nazionali compromessi". Massiccio attacco hacker in corso: pure l'Italia coinvolta
5 Febbraio 2023 - 18:04Attacco hacker tramite ransomware già in circolazione ha preso di mira i server VMware ESXi. Migliaia di server compromessi. Colpite Europa e Nord America
Il Computer security incident response team Italia dell'Agenzia per la cybersicurezza nazionale ha rilevato un massiccio attacco hacker. I tecnici dell'Acn hanno già censito "diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi". L'attacco "prende di mira i server VMware ESXi" e sta coinvolgendo tutto il mondo e riguarda "qualche migliaio di server compromessi" in tutto il mondo. Il Paese più colpito è al momento la Francia ma gli attacchi sono arrivati fino alla Finlandia e al Nord America, coinvolgendo Canada e Stati Uniti.
La vulnerabilità sfruttata dagli attacchi è già stata corretta nel passato dal produttore ma Acn sottolinea che "non tutti coloro che usano i sistemi attualmente interessati l'hanno risolta". Per questo motivo, i server presi di mira, se privi delle correzioni adeguate, "possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend". I primi ad accorgersi dell'attacco sono stati i francesi, probabilmente per via dell'ampio numero di infezioni registrato sui sistemi di alcuni provider in quel Paese. Successivamente l'ondata di attacchi si è sposta su altri Paese tra cui l'Italia.
Per quanto riguarda il nostro Paese, sono decine le realtà che hanno riscontrato l'attività malevola nei loro confronti ma non è escluso che aumentino nelle prossime ore. L'attacco non mira solo a creare il disservizio del momento ma, come spiega Acn, "consente in una fase successiva di portare attacchi ransomware che cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione". Nella sua nota, inoltre, l'Agenzia, ribadisce che "è prioritario per chiunque chiudere le falle individuate e sviluppare un'adeguata strategia di protezione". Al momento la polizia postale esclude che ci sia un attacco hacker alle reti e alle infrastrutture della Tim, che stanno riscontrando problemi di connessione. Ma gli agenti sono in costante contatto con il personale informatico e della sicurezza di Tim.
La vulnerabilità individuata dalle recenti analisi come CVE-2021-21974 (già sanata dal vendor nel febbraio 2021), riguarda i sistemi esposti su internet che offrono servizi di virtualizzazione basati sul prodotto VMWare ESXi, e ha un impatto elevato, stimato dalla comunità tecnica come "rischio alto/arancione" (70,25/100).
Ma non è da escludersi che possano essere sfruttate altre vulnerabilità non ancora note.