Chi c’è dietro l’attacco ransomware? La nota di Palazzo Chigi e i commenti degli esperti

“Nessuna istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita” dall’attacco hacker verificatosi su scala mondiale. È quanto si legge in una nota di Palazzo Chigi diffusa dopo la riunione, coordinata dal sottosegretario con la delega alla cybersecurity Alfredo Mantovano, con il direttore generale dell’Agenzia per la cybersicurezza nazionale Roberto Baldoni e il direttore del Dipartimento delle informazioni per la sicurezza Elisabetta Belloni.

LE PRIME INDAGINI

Nel corso delle prime attività ricognitive compiute dall’Agenzia per la cybersicurezza nazionale, unitamene assieme alla Polizia Postale, “non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un riscatto”, si legge ancora. “L’aggressione informatica, emersa già dalla serata del 3 febbraio e culminata ieri in modo così diffuso, era stata individuata da ACN come ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia aveva allertato tutti i soggetti sensibili affinché adottassero le necessarie misure di protezione. Taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze”. Per fare una analogia con l’ambito sanitario, è accaduto come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a una opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute per chi a quella prevenzione non abbia ottemperato, recita ancora il comunicato.

I PROSSIMI PASSI

Il lavoro che l’Agenzia per la cybersicurezza nazionale e la Polizia Postale stanno svolgendo in queste ore è anche quello di identificare tutti i soggetti potenzialmente vulnerabili, in modo da circoscrivere gli effetti negativi che potrebbero derivare non solo per i loro sistemi informatici, ma pure per la popolazione (si pensi alle ricadute relative al blocco del sistema di una ASL). Le autorità rinnovano pertanto la raccomandazione a che tutte le realtà coinvolte intensifichino le misure di prevenzione possibili, ponendosi immediatamente in relazione con l’Agenzia per la cybersicurezza nazionale, se non vi hanno già provveduto. Il governo, dando seguito a quanto previsto dal DL n. 82/2021, adotterà tempestivamente un Dpcm per raccordare il fondamentale lavoro di prevenzione delle Regioni con l’Agenzia per la cybersicurezza nazionale. Nel contempo la stessa Agenzia istituzionalizzerà un tavolo di interlocuzione periodica con tutte le strutture pubbliche e private che erogano servizi critici per la Nazione, a cominciare dai ministeri e dagli istituti di credito e assicurativi.

NEVADA RANSOMWARE

È Nevada Ransomware la cybergang che con ogni probabilità è celata dietro gli attacchi che nell’ultimo fine settimana hanno investito oltre 120 Paesi in Europa e nel Nord America. È quanto dichiara Swascan (Gruppo Tinexta) in una nota. Questa realtà, manifestatasi a dicembre 2022 con un post di lancio della propria attività cybercriminale e con un programma di reclutamento estremamente incentivante, riconosce infatti ai propri affiliati tra l’85% e il 90% dei proventi delle azioni messe a segno contro aziende e istituzioni colpite, a differenza dello standard del mercato delle gang che assicura tra il 70% e l’80% dei ricavati. Altra particolarità è che, a differenza delle gang tradizionali che non attaccano i Paesi nell’area dell’ex Unione Sovietica, Nevada Ransomware esclude dal proprio raggio di azione anche l’Albania, l’Ungheria, il Vietnam, la Malesia, la Tailandia, la Turchia e l’Iran.

LE PAROLE DI IEZZI

“La modalità con cui apparentemente sono stati condotti sia i tentativi di attacco sia, in qualche caso, gli attacchi riusciti – lo sfruttamento di una vulnerabilità non risolta da aggiornamenti di sicurezza unitamente all’esposizione su internet di sistemi – corrisponde al classico modus operandi del criminal hacking”, ha dichiarato Pierguido Iezzi, amministratore delegato di Swascan. “Scansioni massive su base mondiale con l’obiettivo di identificare una opportunità di accesso illegale. La visibilità garantita dalle conseguenze di questo attacco, però, sta avendo anche un secondo probabile risvolto per la gang Nevada”. Di fatto, continua “potrebbe essersi trasformata parallelamente anche in una poderosa campagna di marketing finalizzata al reclutamento di nuovi affiliati: aumenta il numero di affiliati, maggiore sarà il numero di attacchi e di conseguenza il numero di riscatti e i profitti ricavati da questi”

L’ANALISI DI CHECK POINT

L’attacco informatico all’infrastruttura italiana è “ben diverso dagli attacchi che normalmente ci racconta la cronaca quotidiana, con danni e data breach rivolti a organizzazioni private”, ha dichiarato in una nota Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies. “Questo attacco ransomware ha un impatto potenziale che potrebbe riversarsi sull’intera cittadinanza, producendo disagi a livello nazionale, o addirittura globale”, ha aggiunto. Già lo scorso luglio, il nostro threat intelligence, Check Point Research, aveva segnalato un aumento del ransomware del 59%, su base annua e a livello globale. Considerando questa crescita smisurata e l’attacco riportato ieri, è bene ribadire che, in questa era digitale, difendersi e prevenire le minacce informatiche deve essere la priorità numero uno di enti, organizzazioni e utenti privati. “Una strategia di cybersecurity che coinvolga tutti, dal singolo cittadino ai vertici governativi è assolutamente vitale”, ha osservato Torriani.

L’ATTACCO INFORMATICO

Il recente e massiccio attacco informatico ai server ESXi “è considerato il cyber attack più esteso mai segnalato a macchine non Windows”, continua l’esperto. “A rendere ancora più preoccupante la situazione è il fatto che fino a poco tempo fa gli attacchi ransomware erano limitati proprio alle macchine basate su Windows. Gli attori delle minacce ransomware hanno capito quanto siano cruciali i server Linux per i sistemi di enti e organizzazioni. Questo li ha sicuramente spinti a investire nello sviluppo di un’arma informatica così potente e a rendere il ransomware così sofisticato”. Secondo quanto analizzato anche dal team di ricerca di Check Point, l’attacco ransomware non si è fermato solo all’infrastruttura informatica italiana. “I criminali informatici hanno sfruttato CVE-2021-21974, una falla già segnalata a febbraio 2021. Ma ciò che può rendere ancora più devastante l’impatto è l’utilizzo di questi server, sui quali solitamente sono in esecuzione altri server virtuali. Quindi, il danno è probabilmente diffuso su ampia scala, più di quanto possiamo immaginare”, ha concluso Torriani.

LE DICHIARAZIONI DI BACINI E DI MARIA

“Sono ormai moltissimi gli attacchi quotidiani alle infrastrutture, attacchi che sono sempre più in crescita, ed è fondamentale non solo garantire la continuità di funzioni essenziali, pensiamo alla sanità, all’energia, o al sistema finanziario, ma anche lavorare per una sempre maggiore diffusione della cultura della cybersicurezza, serve consapevolezza dei pericoli e formazione, partendo dai più giovani ma senza dimenticare gli imprenditori e i professionisti”, ha dichiarato il professor Marco Bacini, direttore sul master sulla cybersicurezza dell’Università LUM e advisor Cyber Vigilanza Italpol. “Per evitare di incappare nell’infezione con questo tipo di malware è sufficiente aggiornare i sistemi VMware ESXi, mentre qualora i sistemi risultassero infettati bisognerà eseguire una pratica di ripristino per rendere nuovamente disponibili i file compromessi, creando un fallback usando flat.vmdk”, ha ricordato Pietro Di Maria, CTI Expert e advisor internazionale di cybersecurity.