In Francia lo hanno fatto gli esperti dell’Agenzia nazionale per la sicurezza dei sistemi informativi (Anssi). allertato dal 3 febbraio in una campagna di attacco informatico che prende di mira un tipo specifico di server informatico. Ma è stata l’Agenzia Italiana per la Cybersecurity (ACN) a permettere di identificare l’entità della minaccia. Un “attacco su larga scala” ha colpito migliaia di server in tutto il mondo, ha avvertito domenica sera la polizia informatica italiana. Gli hacker sono riusciti a penetrare nei sistemi informativi di un gran numero di organizzazioni per installare ransomware, o più in generale: “per eseguire in remoto codice informatico arbitrario “, spieghiamo all’Anssi.

Oltre alla Francia e all'Italia, sono stati colpiti da questa ondata di attacchi anche gli Stati Uniti, il Canada, la Gran Bretagna e diversi altri Paesi, che hanno sfruttato la vulnerabilità informatica di un software molto diffuso nelle aziende. Chiamato VMware ESXi, puoi gestire facilmente più sistemi operativi (Windows, Linux, ecc.) su un singolo server. “ Puntare sulle soluzioni di virtualizzazione è diventato più comunespiega Anssi. Ciò ti consente di assumere il controllo di tutte le macchine virtuali ospitate nell'ambiente.“.

Lunedì, dopo una riunione d'emergenza sulla questione, il governo italiano ha assicurato che nessuna delle sue aziende operanti in un settore critico per la sicurezza nazionale, né alcun grande ministero, era tra le decine di vittime già identificate. “Al momento non ci sono prove di aggressione da parte di alcuno stato o gruppo affiliato allo stato », ha aggiunto il governo, senza osare parlare di un gruppo criminale.

Scarsa igiene digitale

In tutti i paesi colpiti, le agenzie informatiche stanno lavorando duramente per identificare le aziende a rischio al fine di limitare il più possibile i danni. “La Cisa (Agenzia americana per la sicurezza informatica e le infrastrutture, ndr)sta lavorando con i suoi partner del settore pubblico e privato per valutare l’impatto di questi incidenti segnalati“, ha affermato l’agenzia americana. Obiettivo numero uno: installare l'aggiornamento di sicurezza disponibile per chiudere la vulnerabilità.

Questa vulnerabilità nel software è stata scoperta nel febbraio 2021 e l'editore VMware aveva messo a disposizione dei suoi clienti una patch di sicurezza. Purtroppo, come troppo spesso accade nel campo della sicurezza informatica, questa non è stata applicata in modo sistematico per mancanza di tempo o di competenze necessarie. “La mancata adesione alle misure di base di igiene digitale, anche da parte degli amministratori IT, rimane la causa più comune di incidenti di sicurezza», sottolinea Alain Bouillé, delegato generale del Club degli esperti dell'informazione e della sicurezza digitale, sostenendo le cifre del suo barometro annuale. “Non sottovalutare questo criptoblocco, si diffonde molto rapidamente!“avverte Arnaud de Bermingham, presidente fondatore del fornitore di servizi cloud francese Scaleway. Perché gli hacker possono identificare molto rapidamente le macchine che non sono state aggiornate.

Le aziende che utilizzano questo software devono ora presumere che la vulnerabilità sia stata sfruttata e che possa essere stato depositato codice dannoso. Unica soluzione: “Analizzare i sistemi informativi per identificare segnali di compromissione», spiega Anssi. Un lavoro noioso e dispendioso in termini di tempo per i team di sicurezza IT. La valutazione delle conseguenze richiederà diverse settimane e varierà notevolmente a seconda del profilo delle vittime.
Secondo diversi esperti di cybersecurity, la simultaneità e indifferenziazione degli attacchi finora osservati fa pensare a priori più ad una sorta di “caccia alla rete” che a una pesca mirata. Gli accertamenti dei prossimi giorni permetteranno di saperne di più

AVERE ANCHE – Attacchi informatici: perché gli ospedali sono gli obiettivi principali?