Attacco hacker mondiale

All’inizio di Febbraio, una notizia appare in tutti i giornali, e porta scompiglio in tutto il mondo.

C”e’ stato un attacco hacker in tutto il mondo, e molte aziende sono state colpite. «Diverse decine di sistemi nazionali compromessi». E’ un attacco massiccio quello scatenato dagli hacker in tutto il mondo, Italia compresa, la cui portata e, soprattutto, le cui conseguenze sono ancora tutte da chiarire. Un attacco venuto alla luce nel giorno in cui la rete Tim è andata in down, anche se sia l’azienda sia la polizia postale hanno escluso che il problema fosse dovuto ad un attacco dei pirati informatici.

Gli hacker hanno scandagliato la rete alla ricerca di server suscettibili a un determinato tipo di attacco informatico. Una volta trovati, li hanno infettati con un malware che – a seconda del livello di minaccia – può risultare più o meno complicato da rimuovere. Una volta infettata la macchina, si può operare in diversi modi. Alcuni di questi server sono stati colpiti da ransomware, cioè una richiesta di riscatto per riavere indietro i dati sottratti durante l’attacco. Ma non ci sono ancora state rivendicazioni da parte dei collettivi hacker più in vista e non è stata resa nota nessuna negoziazione.

Ad essere stata sfruttata è una falla del software VMware, che due anni fa aveva rilasciato una patch di aggiornamento, ignorata però da molti, forse troppi utenti. Per tutte le aziende attaccate il messaggio che compare è il seguente: “Allarme rosso!!! Abbiamo hackerato con successo la tua azienda. Tutti i file vengono rubati e crittografati da noi. Se si desidera recuperare i file o evitare la perdita di file, si prega di inviare 2.0 Bitcoin. Invia denaro entro 3 giorni, altrimenti divulgheremo alcuni dati e aumenteremo il prezzo. Se non invii bitcoin, informeremo i tuoi clienti della violazione dei dati tramite e-mail e messaggi di testo”. L’attuale cambio tra bitcoin ed euro prevede che 2 bitcoin equivalgano a 42mila euro.

Possiamo dire che la questione si è ormai più o meno conclusa: il numero di server colpiti si è praticamente fermato a quota 2.800, e nella maggior parte dei casi è stato possibile ripristinare i dati. Vale la pena segnalare che la CISA (Cybersecurity and Infrastructure Agency) ha rilasciato uno script per provare a ripristinare e recuperare le macchine virtuali colpite dall’attacco. Alcune aziende, dice la CISA stessa, hanno avuto successo nell’operazione senza il pagamento di alcun riscatto. Procedura e tutorial dettagliati sono disponibili su questa pagina GitHub.

Cos’è un attacco ransomware?

Un attacco ransomware è un tipo di attacco informatico in cui gli hacker bloccano o crittografano i dati di un sistema o di un’organizzazione e richiedono un riscatto per la decrittografia o la restituzione dei dati. Solitamente, il riscatto viene richiesto in forma di criptovaluta come Bitcoin. Gli utenti che accettano di pagare il riscatto non sono garantiti che i loro dati saranno decrittografati, e in alcuni casi gli hacker possono continuare a minacciare la vittima anche dopo che il riscatto è stato pagato.

PERCHÉ ALCUNI SERVER NON SONO STATI AGGIORNATI?

Quando viene rilasciata una patch spesso i proprietari tendono a temporeggiare, per tutta una serie di motivi. Intanto per il problema dell’incompatibilità di cui abbiamo accennato: quando viene aggiornato un sistema, inevitabilmente smette di funzionare qualche applicazione e si crea instabilità. C’è poi la tendenza, specie in Italia, a prendere tempo, nell’idea che attacchi simili non capiteranno mai ai nostri sistemi. Alcune organizzazioni inoltre non verificano con la dovuta costanza la presenza di determinate vulnerabilità sulle applicazioni. Ed è così che il ciclo di vita delle vulnerabilità e dei relativi exploit (cioè la serie di passi necessari a sfruttarla) ha raggiunto il triste record dei 7 anni.