I tecnici dell’Agenzia per la cybersicurezza nazionale hanno già censito “diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi”
Un “massiccio attacco tramite un ransomware già in circolazione” è stato rilevato dal Computer security incident response team Italia dell’Agenzia per la cybersicurezza nazionale. I tecnici hanno già censito “diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi”, si legge in una nota diffusa dall’Agenzia diretta dal professor Roberto Baldoni. Tuttavia, si spiega, “rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.
Il ransomware prende di mira i server VMware ESXi. L’Agenzia per la cybersicurezza nazionale ricorda come “la vulnerabilità sfruttata dagli attaccanti per distribuire il ransomware è già stata corretta nel passato dal produttore, ma non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta”. Sfruttando la vulnerabilità dei sistemi operativi, gli hacker possono portare avanti attacchi ransomware che “cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione”, si legge ancora.
I primi ad accorgersi dell’attacco sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider. Successivamente l’ondata di attacchi si è spostata su altre nazioni tra cui l’Italia. In questo sono momento qualche migliaio i server compromessi in tutto il mondo, dai Paesi europei come Francia, Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti. In Italia sono decine le realtà che hanno riscontrato l’attività malevola nei loro confronti ma, secondo gli analisti, sono destinate ad aumentare.
Gli attaccanti hanno sfruttato una vulnerabilità nel software che è stata trovata e risolta a fine febbraio 2021 (CVE-2021-21974). Hanno cioè “bucato” soggetti che non aveva applicato la patch.