Il tema cybersicurezza è sempre più caldo nell’Agenda politica del Governo ed è ormai evidente come sia sempre più importante tutelare le infrastrutture strategiche nazionali.
Quella di domenica 5 febbraio 2023 è stata una giornata molto calda, dominata da informazioni a volte poco corrette sulle quali il Prof. Marco Bacini direttore sul master sulla cybersicurezza dell’Università LUM e advisor Cyber Vigilanza Italpol e il Dott. Pietro Di Maria CTI Expert e advisor internazionale di cybersecurity hanno voluto fare un approfondimento, spiegando quello che è successo veramente.
Pietro Di Maria conferma che l’allarme lanciato domenica dall’Agenzia per la Cybersicurezza Nazionale ACN riguardava una vulnerabilità nota da febbraio 2021 per la quale il produttore aveva già rilasciato un aggiornamento capace di mitigare l’esposizione.
Tecnicamente si tratta di una vulnerabilità legata ai server VMWare ESXi per i quale l’Agenzia Francese ANSSI ha lanciato un alert, rilanciato da altre Agenzie, evidenziando la presenza di innumerevoli server ancora non aggiornati e vulnerabili per attacchi di tipo Ransomware da parte dei criminali informatici.
“Il numero dei server compromessi a livello globale al momento è di circa 2000, di cui 19 in Italia”, dichiara Pietro Di Maria. “Per tenere traccia dei servizi ESXi compromessi e dell’indirizzo Bitcoin a cui il riscatto dovrebbe essere inviato è stato rilasciato anche uno script da parte del fondatore della piattaforma Shodan raggiungibile ad un indirizzo web diffuso. Questi dati denotano che non vi è in corso un’attacco verso l’Italia ma c’è l’ordinario tentativo di sfruttare vulnerabilità conosciute e non aggiornate da parte degli amministratori di rete”.
È stato reso noto che la vulnerabilità consente ai cybercriminali di portare all’esecuzione di codice in remoto (RCE) sui sistemi interessati e il vettore di attacco utilizzato per questa campagna potrebbe essere una nuova tipologia di ransomware denominato ESXiArgs, “ransomware” che sfrutta per la maggior parte i comandi di sistema già disponibili di default nelle installazioni vittime, pertanto si stima che non ci sia voluto più di un’ora per realizzarlo.
“Dalle analisi effettuate questa tipologia di malware riuscirebbe a cifrare dati di piccola portata, .vmdk .vmx, e non file system e ciò non comporta un rischio inferiore per l’integrità delle infrastrutture mondiali”, continua Di Maria “Per evitare di incappare nell’infezione con questo tipo di malware è sufficiente aggiornare i sistemi VMware ESXi, mentre qualora i sistemi risultassero infettati bisognerà eseguire una pratica di ripristino per rendere nuovamente disponibili i file compromessi, creando un fallback usando flat.vmdk”.
“Sono ormai moltissimi gli attacchi quotidiani alle infrastrutture, attacchi che sono sempre più in crescita, ed è fondamentale sottolinea il Prof. Bacini, non solo garantire la continuità di funzioni essenziali, pensiamo alla sanità, all’energia, o al sistema finanziario, ma anche lavorare per una sempre maggiore diffusione della cultura della cybersicurezza, serve consapevolezza dei pericoli e formazione, partendo dai più giovani ma senza dimenticare gli imprenditori e i professionisti”.
Oggi si deve lavorare sulla formazione per sviluppare consapevolezza cibernetica dei rischi ma è doveroso comunicare che c’è possibilità di mitigarli con un’attenta difesa cyber e con strumenti anche dal punto di vista economico alla portata di tutti.
Le PMI italiane, i professionisti devono comprendere i rischi potenziali, evitando di rimanere bloccati con conseguenze che possono avere ripercussioni negative non solo sui soggetti attaccati ma anche e soprattutto sull’economia nazionale.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.