(Roma, Parigi, 05.02.2023). Attacco hacker tramite ransomware già in circolazione ha preso di mira i server VMware ESXi. Migliaia di server compromessi. Colpite Europa e Nord America
Il Computer security incident response team Italia dell’Agenzia per la cybersicurezza nazionale ha rilevato un massiccio attacco hacker. I tecnici dell’Acn hanno già censito « diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi ». L’attacco « prende di mira i server VMware ESXi » e sta coinvolgendo tutto il mondo e riguarda « qualche migliaio di server compromessi » in tutto il mondo. Il Paese più colpito è al momento la Francia ma gli attacchi sono arrivati fino alla Finlandia e al Nord America, coinvolgendo Canada e Stati Uniti.
La vulnerabilità sfruttata dagli attacchi è già stata corretta nel passato dal produttore ma Acn sottolinea che « non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta ». Per questo motivo, i server presi di mira, se privi delle correzioni adeguate, « possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend ». I primi ad accorgersi dell’attacco sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in quel Paese. Successivamente l’ondata di attacchi si è sposta su altri Paese tra cui l’Italia.
Per quanto riguarda il nostro Paese, sono decine le realtà che hanno riscontrato l’attività malevola nei loro confronti ma non è escluso che aumentino nelle prossime ore. L’attacco non mira solo a creare il disservizio del momento ma, come spiega Acn, « consente in una fase successiva di portare attacchi ransomware che cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione ». Nella sua nota, inoltre, l’Agenzia, ribadisce che « è prioritario per chiunque chiudere le falle individuate e sviluppare un’adeguata strategia di protezione ». Al momento la polizia postale esclude che ci sia un attacco hacker alle reti e alle infrastrutture della Tim, che stanno riscontrando problemi di connessione. Ma gli agenti sono in costante contatto con il personale informatico e della sicurezza di Tim.
La vulnerabilità individuata dalle recenti analisi come CVE-2021-21974 (già sanata dal vendor nel febbraio 2021), riguarda i sistemi esposti su internet che offrono servizi di virtualizzazione basati sul prodotto VMWare ESXi, e ha un impatto elevato, stimato dalla comunità tecnica come « rischio alto/arancione » (70,25/100). Ma non è da escludersi che possano essere sfruttate altre vulnerabilità non ancora note.
Di Francesca Galici. (Il Giornale)