Attacco hacker o semplice vulnerabilità?

Il tema cybersicurezza è sempre più caldo nell’Agenda politica del Governo ed è ormai evidente come sia sempre più importante tutelare le infrastrutture strategiche nazionali. In merito agli attacchi cyber che hanno colpito l’Italia sono intervenuti il Prof. Marco Bacini direttore sul master sulla cybersicurezza dell’Università LUM e advisor Cyber Vigilanza Italpol e il Dott. Pietro Di Maria CTI Expert e advisor internazionale di cybersecurity che hanno voluto fare un approfondimento.
Pietro Di Maria conferma che l’allarme lanciato nei giorni scorsi dall’Agenzia per la Cybersicurezza Nazionale ACN riguardava una vulnerabilità nota da febbraio 2021 per la quale il produttore aveva già rilasciato un aggiornamento capace di mitigare l’esposizione. Tecnicamente si tratta di una vulnerabilità legata ai server VMWare ESXi per i quale l’Agenzia Francese ANSSI ha lanciato un alert, rilanciato dalla nostra Agenzia, evidenziando la presenza di innumerevoli server ancora non aggiornati e vulnerabili per attacchi di tipo Ransomware da parte dei criminali informatici.
Dichiara Pietro Di Maria, “Il numero dei server compromessi a livello globale al  momento è di circa 2000, di cui 19 in Italia. Per tenere traccia dei servizi ESXi compromessi e dell’indirizzo Bitcoin a cui il riscatto dovrebbe essere inviato è stato rilasciato anche uno script da parte del fondatore della piattaforma Shodan raggiungibile ad un indirizzo web diffuso. Questi dati denotano che non vi è in corso un’attacco verso l’Italia ma c’è l’ordinario tentativo di sfruttare vulnerabilità conosciute e non aggiornate da parte degli amministratori di rete”.

È stato reso noto che la vulnerabilità consente ai criminali informatici di portare all’esecuzione di codice in modalità remota (RCE) sui sistemi interessati e il vettore di attacco utilizzato per questa campagna potrebbe essere una nuova tipologia di ransomware denominato ESXiArgs, “ransomware” che sfrutta per la maggior parte i comandi di sistema già disponibili di default nelle installazioni vittime, pertanto si stima che non ci sia voluto più di un’ora per realizzarlo.

“Dalle analisi effettuate questa tipologia di malware riuscirebbe a cifrare dati di piccola portata, .vmdk .vmx, e non file system e ciò non comporta un rischio inferiore per l’integrità delle infrastrutture mondiali”, continua Di Maria “Per evitare di incappare nell’infezione con questo tipo di malware è sufficiente aggiornare i sistemi VMware ESXi, mentre qualora i sistemi risultassero infettati bisognerà eseguire una pratica di ripristino per rendere nuovamente disponibili i file compromessi, creando un fallback usando flat.vmdk”.

“Sono ormai moltissimi gli attacchi quotidiani alle infrastrutture, attacchi che sono

sempre più in crescita, ed è fondamentale sottolinea il Prof. Bacini, non solo garantire la continuità di funzioni essenziali, pensiamo alla sanità, all’energia, o al sistema finanziario, ma anche lavorare per una sempre maggiore diffusione della cultura della cybersicurezza, serve consapevolezza dei pericoli e formazione, partendo dai più giovani ma senza dimenticare gli imprenditori e i professionisti”.

Oggi si deve lavorare sulla formazione per sviluppare consapevolezza cibernetica dei rischi ma è doveroso comunicare che c’è possibilità di mitigarli con un’attenta difesa cyber e con strumenti anche dal punto di vista economico alla portata di tutti.

Le PMI italiane, i professionisti devono comprendere i rischi potenziali, evitando di rimanere bloccati con conseguenze che possono avere ripercussioni negative non solo sui soggetti attaccati ma anche e soprattutto sull’economia nazionale.