L’Italia, e non solo, è di nuovo nel mirino degli hacker. A causa di un potente e pericoloso attacco informatico, alcune migliaia di server sono stati compromessi in tutto il mondo: dalla Francia, il Paese più colpito, a Finlandia e Italia, fino a Canada e Stati Uniti. Un «massiccio attacco tramite un ransomware», ossia un virus, è stato rilevato nella giornata di ieri dal “Computer security incident response team Italia” dell’Agenzia per la cybersicurezza nazionale. L’attacco, partito venerdì scorso in Francia, ha preso di mira i server “VMware ESXi”, sfruttando una vulnerabilità già corretta nel 2021 dal produttore di questo software. Ma «non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta» - spiega l’Agenzia per la cybersicurezza nazionale (Acn) - e i server presi di mira, se privi delle correzioni adeguate, «possono aprire le porte agli hacker impegnati a sfruttarla in queste ore, dopo la forte crescita di attacchi registrata nel weekend». Per questo l’invito degli esperti è quello di procedere al più presto con l’aggiornamento. Il rischio è definito dagli esperti «alto-arancione».
I SOGGETTI COLPITI
Dopo che si è diffusa la notizia di questa “criticità” nel sistema di virtualizzazione tra i più diffusi al mondo, i criminali informatici si sono messi in azione per scoprire e attaccare chi non aveva effettuato l’aggiornamento del software.
Una situazione che era ben chiara anche a Palazzo Chigi dove, nelle settimane passate, «la necessità di contrastare le vulnerabilità dei sistemi informatici aveva costituito oggetto di una informativa da parte del presidente Giorgia Meloni in sede di Consiglio di ministri, accompagnata dall’invito a uno stretto raccordo fra le strutture istituzionali e Acn». Per questo oggi il sottosegretario Alfredo Mantovano, autorità delegata dal governo per la cybersicurezza, incontrerà a Palazzo Chigi il direttore di Agenzia per la cybersicurezza nazionale, Roberto Baldoni, e la direttrice del Dipartimento informazione e sicurezza (Dis), Elisabetta Belloni, per fare un primo bilancio dei danni provocati dagli attacchi «e per confermare la promozione della adeguata strategia di protezione, peraltro da tempo già in atto».
I FATTI
Cosa sta succedendo esattamente? «Per usare una metafora», spiega Arturo Di Corinto, Public affairs and Communication Advisor dell’Acn, «è come se tutti gli abitanti di un condominio fossero andati via chiudendo la porta di casa, ma tutte le serrature sono risultate difettose. E adesso c’è chi sta cercando di entrare. E in qualche caso, per qualche decina di realtà italiane, gli hacker sono riusciti a sfondare». Parliamo di “abitazioni” istituzionali, quindi server di università e ministeri. Il problema, spiega Di Corinto, sono tutti gli altri server, quelli cioè che «hanno ancora questa serratura difettosa ormai da due anni. Il produttore li aveva avvisati, ma non hanno fatto nulla. E ce ne sono almeno 500 a rischio, per questo abbiamo dovuto dare l’allarme».
I tecnici dell’Acn intanto hanno già censito «diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi». Tuttavia, spiega sempre l’Agenzia, «rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi». «Dire che c’è la patch non vuol dire aver risolto il problema, perché, finché le organizzazioni non la installano, è come se non esistesse. E non la installano perché ancora prevale la mentalità del “lo faccio dopo, tanto a me certe cose non succedono”. Sbagliatissimo», spiega Alessandro Curioni, esperto di cybersecurity.
Attacco hacker ad Acea, nessun servizio essenziale toccato: sospetti su un gruppo russo
I DISSERVIZI
Tra le tante aziende vittime di attacchi hacker in questi giorni, c’è anche Acea. «Ma è già stata ripristinata la funzionalità dei sistemi informatici, dopo l’attacco cyber che ha interessato l’azienda lo scorso 2 febbraio ad opera del gruppo ransomware Black Basta - si legge in una nota -. I siti internet del gruppo e delle piattaforme online per la gestione degli aspetti commerciali delle forniture di acqua, elettricità e gas risultano operativi, così come - dalla giornata di sabato - per i clienti il servizio di contact center delle società. Allo stato attuale, le analisi statiche e dinamiche della minaccia non hanno evidenziato compromissione dei dati personali. L’azienda ribadisce che il disservizio informatico generato dall’attacco cyber non ha interessato i servizi essenziali di distribuzione elettrica ed idrica che sono stati sempre regolarmente garantiti».
Mentre, spiegano gli esperti, l’attacco hacker sarebbe scollegato dai disservizi rilevati da mercoledì e fino alla giornata di ieri sulla rete Tim, con oltre 7.500 le segnalazioni. L’azienda, nella serata di ieri, è riuscita a risolvere gran parte dei problemi legati alla rete nazionale.