Oltre ai sistemi colpiti, ricorda l’Agenzia, “ne restano molti ancora esposti”. La strategia è quella di bloccare il computer e chiedere un riscatto. La Francia il Paese più colpito, ma tutta l’Europa e il Nordamerica sono nel mirino. Domani vertice a Palazzo Chigi – fonte: www.repubblica.it
Un “massiccio attacco tramite un ransomware già in circolazione” è stato rilevato dal Computer security incident response team Italia dell’Agenzia per la cybersicurezza nazionale. I tecnici dell’Acn hanno già censito “diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi”. Tuttavia, si spiega, “rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.
Domani vertice a Palazzo Chigi
Il governo segue con attenzione gli sviluppi dell’attacco. Domani mattina alle 9 il sottosegretario Alfredo Mantovano, autorità delegata per la cybersicurezza, incontrerà a Palazzo Chigi il direttore di ACN, Roberto Baldoni, e la direttrice del DIS-Dipartimento informazione e sicurezza, Elisabetta Belloni, per fare un primo bilancio dei danni provocati dagli attacchi e per confermare la promozione della adeguata strategia di protezione, peraltro da tempo già in atto.
La richiesta del riscatto
Il ransomware prende di mira i server VMware ESXi. L’agenzia per la Cybersicurezza ricorda come “la vulnerabilità sfruttata dagli attaccanti per distribuire il ransomware è già stata corretta nel passato dal produttore, ma non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta”. Sfruttando la vulnerabilità dei sistemi operativi, gli hacker possono portare avanti attacchi ransomware che “cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione”.
I primi ad accorgersi dell’attacco sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider. Successivamente l’ondata di attacchi si è spostata su altre nazioni tra cui l’Italia. In questo momento sono qualche migliaio i server compromessi in tutto il mondo, dai paesi europei come Francia, Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti. In Italia sono decine le realtà che hanno riscontrato l’attività malevola nei loro confronti ma – secondo gli analisti – sono destinate ad aumentare.
Come avviene l’attacco
Il ransomware è un malware, cioè un “software malevolo” che cripta i file presenti sul computer della vittima, rendendoli illeggibili e non più utilizzabili senza una chiave di decifrazione che viene data dagli hacker solo dietro pagamento di un riscatto. Di solito per i privati si tratta di cifre non impossibili, tra le decine e le centinaia di euro, che le vittime di norma pagano pur di non perdere dati; nel caso di grandi organizzazioni, aziende o enti pubblici, le cifre invece possono essere molto alte.
I ransomware sono, nella maggioranza dei casi, dei trojan diffusi tramite siti web malevoli o compromessi, ovvero per mezzo della posta elettronica. In genere si presentano come allegati apparentemente innocui (come, ad esempio, file Pdf) provenienti da mittenti legittimi (soggetti istituzionali o privati). La loro verosimiglianza induce gli utenti ad aprire l’allegato, il quale riporta come oggetto diciture che richiamano fatture, bollette, ingiunzioni di pagamento e altri oggetti simili: una volta aperto il file, il ransomware entra nel pc o nel telefono della vittima e lo cripta.