back to top

Massiccio attacco hacker su scala mondiale. Migliaia i server colpiti. Sfruttata una vecchia falla di VMware ESXi

Secondo le indiscrezioni circolanti in Rete sarebbe in corso un massiccio attacco hacker su scala globale che starebbe causando un numero crescente di disservizi. Ad essere colpiti sarebbero i server gestiti mediante tecnologia VMware, una delle più popolari piattaforme di virtualizzazione disponibili sul mercato.
Secondo le prime ricostruzioni i cybercriminali avrebbero utilizzato un ransomware per colpire una vecchia vulnerabilità di VMware ESXi causando il down di migliaia di server in tutto il pianeta.

Ma andiamo con ordine e cerchiamo ci capire cosa è successo.

Chi sono le vittime?

Ad essere colpiti dall’attacco informatico del weekend del 4-5 febbraio sarebbero state principalmente le aziende. Il ransomware, diffuso ed attivato nelle scorse ore, infatti, aveva come obiettivo i server aziendali essendo stato programmato per identificare e sfruttare una vecchia falla del software VMware ESXi, diffusissimo in ambito enterprise. Una volta raggiunto un sistema vulnerabile il ransomware ha provveduto a criptare i dati del server bloccandone del tutto l’operatività. Come sempre accade in questi casi gli amministratori di sistema hanno ricevuto una richiesta di riscatto (da pagare in Bitcoin) per poter toranre in possesso dei propri dati.

Cos’è VMware?

VMware Inc. è un’azienda del gruppo Dell specializzata in soluzioni di virtualizzazione, cioè nella produzione di software specifici in grado di trasformare un sistema fisico (un server) in una molteplicità di ambienti virtuali indipendenti l’uno dall’altro.
Le soluzioni VMware sono utilizzate in tutto il mondo per la creazione di server virtuali e la gestione di ambienti cloud basati sulla condivisione di un pool di risorse fisiche.

Una falla già risolta nel Febbraio 2021

I cybercriminali avrebbero sfruttato un falla già nota – e persino già risolta – dall’azienda nel febbraio 2021 (CVE-2021-21974), cioè esattamente due anni fa. Il problema quindi, ancora una volta, sarebbe l’inerzia di molti amministratori di sistema che non avrebbero provveduto ad installare gli aggiornamenti mettendo a repentaglio la sicurezza di milioni di clienti nel mondo.

Secondo gli esperti della Acn (Agenzia per la Cybersicurezza Nazionale) la falla avrebbe un impatto elevato, secondo la classificazione ufficiale si trattrebbe di un "rischio alto/arancione" con un punteggio di 70,25 su 100. Per maggiori informazioni (e per le procedure da adottare per mitigare il problema) i tecnici informatici sono invitati a consultare l’alert pubblicato sul sito di CSIRT (Computer Security Incident Response Team) e le indicazioni pubblicate sullo stesso sito di VMware.

Un week-end terribile: Francia e Italia tra le prime vittime

L’attacco, come spesso accade, avrebbe sfruttato il week-end per raggiungere il maggior numero di sistemi e massimizzare le conseguenze dell’aggressione.

Durante i fine settimana, infatti, la proponesione all’intervento da parte dei tecnici informatici subisce un fisiologico rallentamento dovuto al week-end ed i team che si occupano della gestione delle emergenze non sarebbero in grado di offrire sempre una risposta rapida, soprattutto di fronte ad attacchi così violenti e massicci.

I primi ad accorgersi dell’attacco sarebbero state le autorità Francesi che avrebbero subito notato un numero anomalo di disservizi nei provider transalpini. Subito dopo i segnali di quanto in corso sono arrivati anche in Italia: da questa mattina, infatti, molti clienti del provider telefonico TIM stanno riscontrando diverse problematiche che, nonostante le iniziali rassicurazioni della Polizia Postale (che in mattinata aveva escluso l’attacco hacker), si teme possano essere causate proprio dall’attacco informatico in corso.

In serata sarebbe stato convocato per domani mattina – Lun 9/2 – un vertice a Palazzo Chigi per fare il punto della situazione e per valutare eventuali misure da mettere in campo per mitigare gli effetti dell’attacco. Ad essere presenti saranno il sottosegretario con delega alla Cybersicurezza Alfredo Mantovano, il direttore di Acn, Roberto Baldoni, e la direttrice del Dis (Dipartimento informazione e sicurezza) Elisabetta Belloni.

Rientrati i problemi di TIM

Da quanto si è appreso in serata le problematiche della Rete TIM – che da questa mattina hanno portato in tendenza l’hashtag #timdown – sarebbero in via di risoluzione. Il problema avrebbe riguardato esclusivamente il traffico dati e non anche i servizi di fonia. Allo stato attuale non è dato sapere se, in qualche modo, l’incidente che ha colpito il provider telefonico sia in qualche modo connesso con l’attacco informatico in corso. In giornata la Polizia Postale, interpellata sulla questione, aveva escluso che si potesse trattare di un attacco hacker.

Pubblicità
Massimiliano Bossi
Massimiliano Bossi
Stregato dalla rete sin dai tempi delle BBS e dei modem a 2.400 baud, ho avuto la fortuna di poter trasformare la mia passione in un lavoro (nonostante una Laurea in Giurisprudenza). Adoro scrivere codice e mi occupo quotidianamente di comunicazione, design e nuovi media digitali. Orgogliosamente "nerd" sono il fondatore di MRW.it (per il quale ho scritto centinaia di articoli) e di una nota Web-Agency (dove seguo in prima persona progetti digitali per numerosi clienti sia in Italia che all'estero).

Leggi anche...

FakeUpdate dei browser per installare il malware WarmCookie

Un nuovo attacco informatico basato sulla tecnica del FakeUpdate...

Il Governo approva il DDL sulla Cybersicurezza

Il nuovo DDL sulla Cybersicurezza approvato nelle scorse ore...

Italia prima in Europa.. per numero di Cyberattacchi

Attualmente il nostro Paese sarebbe il primo in Europa...

Diffusi i dati dell’attacco contro la ASL 1 Abruzzo

Nelle scorse ore la crew Monti avrebbe rese pubblici...

Gli Italiani e i pericoli della Rete

Eurispes e la Direzione Centrale della Polizia Criminale hanno...

AXLocker minaccia Discord

Discord è oggi una delle piattaforme più utilizzate per...
Pubblicità