Il Prof. Marco Bacini direttore del Master in Cybersicurezza dell’Università Lum e advisor Cyber Vigilanza di Italpol e il Dott. Pietro Di Maria CTI Expert – Edhec Business School e cybersecurity advisor, ci spiegano quello che è successo veramente.
Il tema cybersicurezza è sempre più caldo nell’Agenda politica del Governo ed è ormai evidente come sia sempre più importante tutelare le infrastrutture strategiche nazionali. Ieri, domenica 5 febbraio, è stata una giornata molto calda, dominata da informazioni a volte poco corrette sulle quali il Prof. Marco Bacini, direttore sul master sulla cybersicurezza dell’Università LUM e advisor Cyber Vigilanza Italpol e il Dott. Pietro Di Maria CTI Expert e advisor internazionale di cybersecurity hanno voluto fare un approfondimento.
Pietro Di Maria conferma che l’allarme lanciato ieri dall’Agenzia per la Cybersicurezza Nazionale ACN riguardava una vulnerabilità nota da febbraio 2021 per la quale il produttore aveva già rilasciato un aggiornamento capace di mitigare l’esposizione. Tecnicamente si tratta di una vulnerabilità legata ai server VMWare ESXi per i quale l’Agenzia Francese ANSSI ha lanciato un alert, rilanciato dalla nostra Agenzia, evidenziando la presenza di innumerevoli server ancora non aggiornati e vulnerabili per attacchi di tipo Ransomware da parte dei criminali informatici (In merito potete leggere il nostro approfondimento: ndr).
“Il numero dei server compromessi a livello globale al momento è di circa 2000, di cui 19 in Italia - evidenzia Pietro Di Maria -. Per tenere traccia dei servizi ESXi compromessi e dell'indirizzo Bitcoin a cui il riscatto dovrebbe essere inviato è stato rilasciato anche uno script da parte del fondatore della piattaforma Shodan raggiungibile ad un indirizzo web diffuso. Questi dati denotano che non vi è in corso un’attacco verso l’Italia ma c’è l’ordinario tentativo di sfruttare vulnerabilità conosciute e non aggiornate da parte degli amministratori di rete”.
E’ stato reso noto che la vulnerabilità consente ai criminali informatici di portare all’esecuzione di codice in modalità remota (RCE) sui sistemi interessati e il vettore di attacco utilizzato per questa campagna potrebbe essere una nuova tipologia di ransomware denominato ESXiArgs, "ransomware" che sfrutta per la maggior parte i comandi di sistema già disponibili di default nelle installazioni vittime, pertanto si stima che non ci sia voluto più di un'ora per realizzarlo. “Dalle analisi effettuate questa tipologia di malware riuscirebbe a cifrare dati di piccola portata, .vmdk .vmx, e non file system e ciò non comporta un rischio inferiore per l’integrità delle infrastrutture mondiali”, continua Di Maria “Per evitare di incappare nell’infezione con questo tipo di malware è sufficiente aggiornare i sistemi VMware ESXi, mentre qualora i sistemi risultassero infettati bisognerà eseguire una pratica di ripristino per rendere nuovamente disponibili i file compromessi, creando un fallback usando flat.vmdk”.
“Sono ormai moltissimi gli attacchi quotidiani alle infrastrutture, attacchi che sono sempre più in crescita, ed è fondamentale - sottolinea il Prof. Bacini (sotto nella foto) - non solo garantire la continuità di funzioni essenziali, pensiamo alla sanità, all’energia, o al sistema finanziario, ma anche lavorare per una sempre maggiore diffusione della cultura della cybersicurezza, serve consapevolezza dei pericoli e formazione, partendo dai più giovani ma senza dimenticare gli imprenditori e i professionisti”.
Oggi si deve lavorare sulla formazione per sviluppare consapevolezza cibernetica dei rischi ma è doveroso comunicare che c’è possibilità di mitigarli con un’attenta difesa cyber e con strumenti anche dal punto di vista economico alla portata di tutti. Le PMI italiane, i professionisti devono comprendere i rischi potenziali, evitando di rimanere bloccati con conseguenze che possono avere ripercussioni negative non solo sui soggetti attaccati ma anche e soprattutto sull’economia nazionale.