Domenica 5 febbraio pomeriggio, migliaia di sistemi informatici in tutto il mondo sono stati esposti a un attacco ransomware mirato a specifici tipi di sistemi, pochi giorni dopo che un operatore di trading nel Regno Unito è stato oggetto di un attacco simile. Le prime ad accorgersi e a comunicare l’operazione sono state le agenzie di sicurezza informatica in Francia e in Italia, seguite dalle controparti in Canada e Stati Uniti, che hanno rilevato, tutte, la causa degli attacchi coordinati in una vulnerabilità nota di VMWare ESXi. L’hack sfrutta una falla per la quale VMware aveva previsto una patch, lanciata, già nel 2021 e che, evidentemente, non è stata implementata da tutti. I motivi? Sempre gli stessi: poca “cyber hygiene” nei confronti dei rischi di sistemi corrotti e timore di un’interruzione dei servizi durante le fasi di aggiornamento dei sistemi. Morale della favola: a poche ore dalla scoperta, delle 20-30 aziende italiane interessate, la maggior parte aveva provveduto a chiudere la problematica, mentre i sistemi di cinque restavano esposti.
Come ha sottolineato durante una diretta social Stefano Zanero, professore associato di computer security al Politecnico di Milano:
La notizia non fa scalpore in sé per quanto successo ma per l’escalation di server globali interessati. Circa 2 mila in poche ore, un numero alto ma che non racconta nulla di nuovo. Solo nel 2022, negli Stati Uniti, sono stati denunciati 3.500 ransomware, circa dieci al giorno. Sfruttiamo questi momenti per accelerare la cultura della sicurezza informatica, senza eccessivi allarmismi
A Zanero fa eco Alessandro Piva, direttore dell’Osservatorio Cybesecurity & Data Protection del Politecnico di Milano:
L'aggiornamento dei sistemi rappresenta un aspetto fondamentale per ridurre l'esposizione a possibili attacchi e stupisce come una così semplice regola ancora oggi possa essere disattesa. Se i primi chiamati in causa dall'intrusione del ransomware sono i responsabili dei sistemi informatici delle imprese, le ricadute dell'attacco possono coinvolgere anche i cittadini. Qualora il blocco abbia interessato server e computer dove sono presenti applicazioni e servizi digitali, offerti da aziende private e pubbliche amministrazioni, è lecito aspettarsi l'impossibilità di accedere o un progressivo rallentamento nella fruizione del servizio stesso. Il ripristino dei sistemi si renderà difficile nel caso gli archivi, tutti o in parte, non siano stati salvati altrove, prima dell’attacco
Difficile anche legare l’operazione ransomware, che sfrutta la vulnerabilità CVE-2021-21974 presente nel servizio OpenSLP (Service Location Protocol) di VMware ESXi, a qualche banda di criminali associata a stati esteri. Non c’è alcuna evidenza al momento di matrici particolari, con la probabilità che l’obiettivo principale sia solo quello di monetizzare il più possibile la situazione. Tant’è, che alla fine del “lavoro” compiuto dal ransomware denominato ESXiArgs, che applica la crittografia RSA ai file con estensioni .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram e .vmem, non viene sottratto nessun dato ma copiato un file HTML con le istruzioni da seguire per pagare il riscatto, circa 2 Bitcoin, entro tre giorni. 2022, l’Italia si è piazzata tra i primi paesi al mondo per attacchi via ransomware. Trend Micro scriveva che a gennaio del 2022, un anno fa, eravamo la terza nazione a livello globale per numero di ransowmare inviati, circa il 5% del totale. In uno scenario del tenere, è chiaro che essere dotati delle giuste misure di sicurezza e prevenzione può fare la differenza anche perché la gravità e la frequenza degli attacchi non faranno che aumentare. Pertanto, le organizzazioni devono essere proattive nel loro approccio alla sicurezza e garantire di disporre di difese complete per proteggersi.
Uno dei metodi che può aiutare a prepararsi all’arrivo di un ransomware è il penetration test. I “pentest” possono svolgere un ruolo fondamentale nella strategia di difesa dal ransomware di un’organizzazione. Simulando un attacco, le organizzazioni possono identificare e correggere le vulnerabilità prima che gli aggressori abbiano la possibilità di sfruttarle. Inoltre, i test di penetrazione del ransomware aiutano le imprese a valutare la propria capacità di rispondere e riprendersi da una criticità, comprendendo il potenziale impatto di un attacco sulle loro operazioni aziendali, così da prendere decisioni più informate basate sulla loro “postura” di sicurezza. investendo in modo appropriato nelle strategie di difesa.
