Lo scorso weekend l’Italia è stata vittima di un pesante attacco hacker. A segnalarlo è stato Computer Security Incident Response Team dell’Agenzia per la Cybersicurezza Nazionale (ACN). Al centro dell’attacco hacker c’erano i server VMware ESXi, utilizzati per virtualizzare i sistemi ed i servizi aziendali. L’attacco ha sfruttato una vulnerabilità della piattaforma VMware ESXi hypervisors per la gestione di server che era nota da anni e per cui era già stata diffusa una “toppa” (patche) dagli sviluppatori. Il virus si è quindi diffuso solo nei sistemi che non avevano proceduto ad effettuare l’aggiornamento del software.
Le prime segnalazioni dell’attacco sono arrivate dalla Francia, dove si sono moltiplicate le segnalazioni di infezione da parte di alcuni provider. In un secondo momento l’attacco è proseguito e si è spostato verso altri paesi, tra i quali vi è anche l’Italia.
Attacco hacker: il ransomware
L’attacco hacker era di tipo ransomware: questo tipo di operazione, da parte dei malintenzionati, prevede un attacco a particolari dispositivi a cui viene negato l’accesso a dati, file, video, foto e altro materiale. Viene poi effettuata una richiesta di riscatto, da cui deriva il termine inglese ransom.
Nella maggior parte dei casi, il ransomware si presenta come un contenuto malevolo, che viene inviato attraverso una casella di posta elettronica. L’utente si ritrova un messaggio verosimile nella propria casella mail, con un mittente riconducibile ad una realtà autorevole – come possono essere enti od istituzioni – con un allegato da scaricare ed aprire. Nel momento in cui apre il file allegato, che generalmente è un pdf, l’infezione colpisce il sistema.
Questo attacco, purtroppo, è arrivato nel corso di una settimana difficile per l’Italia, che ha dovuto affrontare i problemi legati ad un down di TIM, che ha coinvolto quasi tutto lo stivale. L’azienda, in questo caso, ha però spiegato che si tratta di un guasto tecnico e non ci sarebbe alcuna relazione con l’attacco hacker. La scorsa settimana, più precisamente giovedì, è stato colpito il sito web di Acea, l’azienda romana dell’energia. A riferirlo è stata la stessa società.
Cosa c’entra la Russia
Sono molteplici le piste aperte e che potrebbero portare ai reali artefici di questo attacco hacker. Per il momento è difficile affermare se in qualche modo possa c’entrare anche la Russia. Anche se i precedenti ci sono e, non a caso, i ransomware sono stati diffusi, in primo luogo, proprio da lì.
Nel corso degli ultimi giorni, tra l’altro, alcuni ospedali europei sono stati presi di mira proprio dagli hacker filo russi di Killnet, almeno secondo quanto hanno riportato le autorità dei Paesi Bassi. Uno degli ospedali dell’Olanda, stando a quanto riferisce il Centro nazionale olandese per la sicurezza informatica (NCSC), ha subito un attacco informatico durante lo scorso weekend.
Sarebbero stati presi di mira i paesi europei che stanno sostenendo l’Ucraina. Nel mirino di questi hacker, infatti, ci sono finiti anche i siti web degli aeroporti tedeschi, delle pubbliche amministrazioni e del settore finanziario.
A dicembre un attacco hacker ha preso di mira anche PayPal. La notizia è stata diffusa nel corso degli ultimi giorni: il colosso dei pagamenti digitali ha dovuto ammettere che gli account di 35.000 utenti sono stati compromessi a causa di una violazione della sicurezza. Tra il 6 e l’8 dicembre 2022 un soggetto non autorizzato ha visualizzato ed ottenuto delle informazioni personali dei clienti PayPal. La società, non appena si è accorta dell’intrusione, ha adottato immediatamente tutte le misure per proteggere i propri clienti.
