Un massiccio attacco hacker non ha risparmiato l’Italia. A lanciare l’allarme nel nostro Paese l’Agenzia per la cybersicurezza nazionale, che ha spiegato che è stato rilevato dal suo Computer security incident response team Italia. I tecnici hanno già censito molteplici sistemi nazionali verosimilmente compromessi e allertato molti soggetti i cui sistemi sono esposti, ma non ancora compromessi. D’altra parte, restano ancora alcuni sistemi esposti, seppur non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. «Questi sono chiamati immediatamente ad aggiornare i loro sistemi». L’attacco hacker è in corso tramite un ransomware già in circolazione. Come evidenziato dal Corriere della Sera, questo prende di mira i server VMware ESXi. Comunque, l’Agenzia per la cybersicurezza ha ricordato che la vulnerabilità sfruttata dagli hacker per diffondere il ransomware è stata già corretta in passato dal produttore, «ma non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta».
Pertanto, sfruttando la vulnerabilità dei sistemi operativi, gli hacker possono attaccare cifrando i sistemi colpiti e rendendoli così inutilizzabili fino al pagamento di un riscatto per ottenere la chiave di decifrazione. La Francia si è accorta per prima dell’attacco hacker, forse a causa del grande numero di infezioni registrato sui sistemi di alcuni provider. Poi l’ondata è arrivata in Italia, dove ci sono decine di realtà che hanno registrato l’attività malevola nei loro confronti ma, secondo gli analisti, sono destinate a crescere. Ora sono qualche migliaio i server compromessi in tutto il mondo, dalla Francia all’Italia fino al Canada e gli Stati Uniti. Stando a fonti del Corriere della Sera, non ci sarebbero legami tra l’attacco e i recenti fatti di attivismo politico in Italia (il riferimento è agli anarchici) o gli scenari internazionali. Dunque, si tratterebbe di cyber-criminali comuni, interessati a estorcere denaro alle aziende e istituzioni colpite.
COS’È UN RANSOMWARE E COME FUNZIONA ATTACCO
Il ransomware è un malware, quindi un software malevolo, che cripta i file nel computer della vittima, rendendoli illeggibili e non più utilizzabili se non si ha una chiave di decifrazione che viene fornita dagli hacker solo dietro pagamento di un riscatto. Solitamente per i privati le cifre non sono impossibili, tra le decine e le centinaia di euro; invece, quando in ballo ci sono grandi organizzazioni, aziende o enti pubblici, le cifre invece possono essere molto alte. Nella maggioranza dei casi, i ransomware sono trojan diffusi tramite siti web malevoli o compromessi, ma anche tramite posta elettronica. Generalmente si presentano come allegati apparentemente innocui (ad esempio come un file Pdf) provenienti da mittenti legittimi (come soggetti istituzionali o privati). Proprio la verosimiglianza induce gli utenti ad aprire l’allegato ricevuto, che riporta come oggetto diciture che spesso richiamano fatture, bollette, ingiunzioni di pagamento e altri oggetti simili. Quindi, una volta aperto il file, il ransomware entra nel pc o nel telefono della vittima, lo infetta e lo cripta.