Attacco hacker, cos’è successo e cosa si sa. Palazzo Chigi: "Non colpiti settori critici"
TecnologiaIl Governo studia il caso del ransomware che ha attaccato decine di server e siti in Italia e nel mondo: sfruttando una falla del software VMware, gli hacker hanno rubato informazioni sensibili e chiedono un riscatto per non divulgare quanto appreso. “A questo punto serve una normativa ad hoc che impedisca anche alle aziende di pagare, come succedeva per i sequestri di persona negli anni ’70”, sottolinea Corrado Giustozzi, divulgatore ed esperto di cyber-sicurezza
A Palazzo Chigi si è svolto un vertice col sottosegretario alla presidenza del Consiglio Alfredo Mantovano, il direttore dell'Agenzia per la cybersicurezza nazionale Roberto Baldoni e la direttrice del Dipartimento informazioni e sicurezza Elisabetta Belloni sul tema dell’attacco hacker, che ha coinvolto decine di server e siti in Italia e migliaia nel mondo. "La riunione tenuta stamane a Palazzo Chigi è servita a verificare che, pur nella gravità dell'accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita", si legge in una nota di Palazzo Chigi. L'attacco ha 'bucato' 22 server di enti o aziende. "Nel corso delle prime attività ricognitive non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l'azione di criminali informatici, che richiedono il pagamento di un 'riscatto'". Da febbraio 2021 "l'aggressione informatica "era stata individuata da ACN come ipoteticamente possibile" e "l'Agenzia aveva allertato tutti i soggetti sensibili affinché adottassero le necessarie misure di protezione. Taluni hanno tenuto in debita considerazione l'avvertimento, altri no e purtroppo oggi ne pagano le conseguenze". Lo riferisce Palazzo Chigi, con un'analogia: "È come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a un'opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute" per chi non l'ha fatto".
Il ricatto
La riunione è stata convocata anche "per confermare la promozione della adeguata strategia di protezione, peraltro da tempo già in atto". Ad essere stata sfruttata è una falla del software VMware, che due anni fa aveva rilasciato una patch di aggiornamento, ignorata però da molti, forse troppi utenti. Per tutte le aziende attaccate il messaggio che compare è il seguente: “Allarme rosso!!! Abbiamo hackerato con successo la tua azienda. Tutti i file vengono rubati e crittografati da noi. Se si desidera recuperare i file o evitare la perdita di file, si prega di inviare 2.0 Bitcoin. Invia denaro entro 3 giorni, altrimenti divulgheremo alcuni dati e aumenteremo il prezzo. Se non invii bitcoin, informeremo i tuoi clienti della violazione dei dati tramite e-mail e messaggi di testo”. L’attuale cambio tra bitcoin ed euro prevede che 2 bitcoin equivalgano a 42mila euro.
Cosa è successo in Italia
Un attacco venuto alla luce nel giorno in cui la rete Tim è andata in down lasciando milioni di utenti senza internet e provocando disservizi anche ai bancomat. Sia l'azienda sia la polizia postale hanno però escluso che il problema sia dovuto ad un attacco dei pirati informatici. Che la cosa sia seria però lo dimostra tanto l’incontro di oggi a Palazzo Chigi quanto l’informativa delle scorse settimane del premier Meloni in Consiglio dei ministri. L'allarme era arrivato nel pomeriggio di domenica dall'Agenzia per la cybersicurezza nazionale: il Computer security incident response team Italia, organismo che monitora gli incidenti e interviene in caso di attacchi, aveva scoperto che gli hacker erano entrati in azione attraverso un "ransomware già in circolazione", che aveva attaccato decine di sistemi. In una nota, l’agenzia precisa che l’attacco è in corso in tutto il mondo, in circa 120 Paesi, e riguarda “qualche migliaio di server compromessi” “dai Paesi europei come Francia – quello più colpito – Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti”. I primi ad accorgersene, aggiungono, sono stati i francesi, “probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider”.
Gli attacchi cyber in Italia
Il direttore dell'Agenzia per la cybersicurezza nazionale Roberto Baldoni ha ricordato che in Italia si registrano ormai qualcosa come 3 milioni di attacchi cyber ogni giorno ed essi sono destinati ad aumentare sia nella quantità che nella loro complessità. Di qui l'invito ribadito al termine della riunione a Palazzo Chigi ad intensificare "le misure di protezione possibili, ponendosi immediatamente in relazione con Acn". Destinatari aziende ed enti inseriti nel Perimetro nazionale di sicurezza cibernetica (che operano in settori sensibili per la sicurezza dello Stato) ma non solo. La legge prevede sanzioni per chi non adempie agli obblighi in materia di sicurezza. Il Governo adotterà in tempi brevi un decreto per raccordare il lavoro di prevenzione delle Regioni in questo campo con quello dell'Agenzia. Finora sono solo 5 le Regioni che hanno sottoscritto un accordo con Acn. Sarà inoltre istituzionalizzato un "tavolo di interlocuzione periodica con tutte le strutture pubbliche e private che erogano servizi critici per la Nazione, a cominciare dai Ministeri e dagli istituti di credito e assicurativi". Per fare in modo che in futuro le falle siano tempestivamente tappate e le indicazioni dell'Agenzia effettivamente seguite.
leggi anche
Massiccio attacco hacker in corso: "Migliaia di server down nel mondo"
Esperto italiano ridimensiona la portata
L'esperto di cybersecurity Stefano Zanero è intervenuto in una diretta social per chiarire quanto successo: "Al mondo è interessato qualche migliaio di aziende, ma nulla di nuovo". Il professore associato di computer security al Politecnico di Milano ha ridimensionato la portata dell'attacco. "Tecnicamente, è stata coinvolta la già citata piattaforma di Vmware, utilizzata dai sistemisti, anche per gestire servizi internet. Le aziende interessate, qualche migliaio al mondo, usavano sistemi non aggiornati ed esposti, ossia vulnerabili a problematiche note da un paio di anni. Si tratta di uno scenario ricorrente. Quello che risalta all'occhio delle analisi è che, nel weekend, sono avvenuti almeno 2.000 attacchi, collegati al ransomware lanciato da un gruppo di criminali informatici che potrebbe aver escogitato un nuovo metodo per eludere le difese delle vittime prese di mira". Per Zanero, in Italia è possibile stimare dalle venti alle trenta aziende teoricamente implicate, di cui ancora cinque nelle ultime ore, con il virus che, se insediato, blocca i sistemi e chiede un riscatto per tornarne in possesso.
Cosa chiedono gli hacker
Il versamento di 42mila euro da parte degli hacker viene richiesto ognuno su un portafoglio digitale differente (a volte vengono chiesti 2,064921 bitcoin, altre 2,01584, ma la quotazione resta pressappoco la stessa). Come evidenzia Luca Bechelli, esperto cyber, su Cybersecurity360.it l’attacco è grave perché “il bersaglio è un sistema tra i più utilizzati in assoluto alla base del funzionamento delle infrastrutture. In una organizzazione, se comprometti questa piattaforma, comprometti la maggior parte dei sistemi server”. Inoltre, “si basa su una vulnerabilità nota, e questo acuisce la gravità: le organizzazioni avrebbero potuto prepararsi per tempo. Da notare che se questo è accaduto a causa di incompatibilità dell’aggiornamento con le tecnologie utilizzate: in tal caso, le organizzazioni devono scegliere tra il rischio di malfunzionamenti (stile Libero di pochi giorni fa) e il rischio di attacchi”
leggi anche
Acea, subito un attacco hacker ma nessun impatto sui servizi
Cosa fare con i ransomware
Il problema rende ancora più evidente la realtà dei ransomware e dei ricatti digitali che vedono l’Italia come primo Paese in Europa e settimo al mondo per numero di attacchi (dati Trend Micro 2022). Come prevenire questi attacchi? Corrado Giustozzi, divulgatore ed esperto di cyber-sicurezza, partner di Rexilience, evidenzia sul Corriere come non “serva predicare belle cose: c’è ancora una ignoranza clamorosa nelle aziende e nella Pubblica amministrazione sulla sicurezza informatica, che da troppi viene vista non come una componete strategica per la sopravvivenza stessa di queste realtà, ma come un qualcosa simile alle lampadine da sostituire o agli ascensori da aggiustare”. Inevitabile, secondo Giustozzi, varare a questo punto “una normativa, anti-attacco, che impedisca anche di pagare per alimentare un circolo vizioso, come i sequestri negli anni ‘70”.
