Secondo le indiscrezioni circolanti in Rete sarebbe in corso un massiccio attacco hacker su scala globale che starebbe causando un numero crescente di disservizi. Ad essere colpiti sarebbero i server gestiti mediante tecnologia VMware, una delle più popolari piattaforme di virtualizzazione disponibili sul mercato.
Secondo le prime ricostruzioni i cybercriminali avrebbero utilizzato un ransomware per colpire una vecchia vulnerabilità di VMware ESXi causando il down di migliaia di server in tutto il pianeta.
Ma andiamo con ordine e cerchiamo ci capire cosa è successo.
Chi sono le vittime?
Ad essere colpiti dall’attacco informatico del weekend del 4-5 febbraio sarebbero state principalmente le aziende. Il ransomware, diffuso ed attivato nelle scorse ore, infatti, aveva come obiettivo i server aziendali essendo stato programmato per identificare e sfruttare una vecchia falla del software VMware ESXi, diffusissimo in ambito enterprise. Una volta raggiunto un sistema vulnerabile il ransomware ha provveduto a criptare i dati del server bloccandone del tutto l’operatività. Come sempre accade in questi casi gli amministratori di sistema hanno ricevuto una richiesta di riscatto (da pagare in Bitcoin) per poter toranre in possesso dei propri dati.
Cos’è VMware?
VMware Inc. è un’azienda del gruppo Dell specializzata in soluzioni di virtualizzazione, cioè nella produzione di software specifici in grado di trasformare un sistema fisico (un server) in una molteplicità di ambienti virtuali indipendenti l’uno dall’altro.
Le soluzioni VMware sono utilizzate in tutto il mondo per la creazione di server virtuali e la gestione di ambienti cloud basati sulla condivisione di un pool di risorse fisiche.
Una falla già risolta nel Febbraio 2021
I cybercriminali avrebbero sfruttato un falla già nota – e persino già risolta – dall’azienda nel febbraio 2021 (CVE-2021-21974), cioè esattamente due anni fa. Il problema quindi, ancora una volta, sarebbe l’inerzia di molti amministratori di sistema che non avrebbero provveduto ad installare gli aggiornamenti mettendo a repentaglio la sicurezza di milioni di clienti nel mondo.
Secondo gli esperti della Acn (Agenzia per la Cybersicurezza Nazionale) la falla avrebbe un impatto elevato, secondo la classificazione ufficiale si trattrebbe di un "rischio alto/arancione" con un punteggio di 70,25 su 100. Per maggiori informazioni (e per le procedure da adottare per mitigare il problema) i tecnici informatici sono invitati a consultare l’alert pubblicato sul sito di CSIRT (Computer Security Incident Response Team) e le indicazioni pubblicate sullo stesso sito di VMware.
Un week-end terribile: Francia e Italia tra le prime vittime
L’attacco, come spesso accade, avrebbe sfruttato il week-end per raggiungere il maggior numero di sistemi e massimizzare le conseguenze dell’aggressione.
Durante i fine settimana, infatti, la proponesione all’intervento da parte dei tecnici informatici subisce un fisiologico rallentamento dovuto al week-end ed i team che si occupano della gestione delle emergenze non sarebbero in grado di offrire sempre una risposta rapida, soprattutto di fronte ad attacchi così violenti e massicci.
I primi ad accorgersi dell’attacco sarebbero state le autorità Francesi che avrebbero subito notato un numero anomalo di disservizi nei provider transalpini. Subito dopo i segnali di quanto in corso sono arrivati anche in Italia: da questa mattina, infatti, molti clienti del provider telefonico TIM stanno riscontrando diverse problematiche che, nonostante le iniziali rassicurazioni della Polizia Postale (che in mattinata aveva escluso l’attacco hacker), si teme possano essere causate proprio dall’attacco informatico in corso.
In serata sarebbe stato convocato per domani mattina – Lun 9/2 – un vertice a Palazzo Chigi per fare il punto della situazione e per valutare eventuali misure da mettere in campo per mitigare gli effetti dell’attacco. Ad essere presenti saranno il sottosegretario con delega alla Cybersicurezza Alfredo Mantovano, il direttore di Acn, Roberto Baldoni, e la direttrice del Dis (Dipartimento informazione e sicurezza) Elisabetta Belloni.
Rientrati i problemi di TIM
Da quanto si è appreso in serata le problematiche della Rete TIM – che da questa mattina hanno portato in tendenza l’hashtag #timdown – sarebbero in via di risoluzione. Il problema avrebbe riguardato esclusivamente il traffico dati e non anche i servizi di fonia. Allo stato attuale non è dato sapere se, in qualche modo, l’incidente che ha colpito il provider telefonico sia in qualche modo connesso con l’attacco informatico in corso. In giornata la Polizia Postale, interpellata sulla questione, aveva escluso che si potesse trattare di un attacco hacker.