Sfruttando una falla nota e già corretta di un software VMware, gli attaccanti hanno scatenato attacchi in Italia, Francia, Finlandia, Canada, Stati Uniti e altri Paesi. Le fonti ufficiali parlano di un “ransomware già in circolazione” che ha sfruttato la vulnerabilità CVE-2021–21974 presente nei prodotti VMware ESXi, chiusa dal vendor con apposita patch a febbraio 2021. Una nota di ACN riferisce che sono stati compromessi “diverse decine di sistemi nazionali”, ma per i numeri precisi e le stime dei danni bisongerà attendere.

Un mix micidiale

Questo attacco ha tutte le criticità tipiche del panorama odierno di cybersecurity da cui gli esperti mettono in guardia da tempo. Partiamo con il tempismo: l’allarme del CSIRT è stato diffuso di sabato alle 22:23, un orario in cui gli uffici sono vuoti e la maggior parte degli addetti ai lavori è di riposo. Solo i SOC 24/7/365 erano attivi, quindi non c’è da stupirsi che gli esperti “sono riusciti ad allertare diversi soggetti - istituzioni, aziende pubbliche e private - i cui sistemi risultano esposti e dunque vulnerabili agli attacchi ma "rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario", come riporta ANSA.

È un problema vecchio come la storia degli attacchi cyber: gli attaccanti (chiunque essi siano) preferiscono colpire nei week-end e nei periodi di vacanza per cogliere le difese sguarnite o assenti. È il motivo per il quale i vendor nell’ultimo anno si sono dannati a sottolineare che la security non è più un prodotto, per una difesa efficace servono i servizi. Guarda caso, servizi attivi H24, 7 giorni su 7. Le enterprise che se li possono permettere li erogano tramite il SOC interno, tutti gli altri dovrebbero sfruttare i servizi erogati dai vendor stessi o dagli MSP per non lasciare scoperta nemmeno un’ora.

La seconda questione è quella del patching. Quello che è accaduto nel fine settimana non stupisce gli addetti ai lavori: un produttore ha individuato una falla nei propri sistemi e l’ha corretta, come accade di continuo. Tutti gli utenti di quel sistema avrebbero dovuto chiudere in tempo zero la falla per evitare problemi, ma pochi lo fanno. C’è chi incolpa la mancanza di personale, chi il fatto che gli addetti sono oberati di lavoro più urgente, chi vuole evitare fermi produttivi diffondendo l’update. È tutto vero, ma queste scuse non salvano dagli attacchi gravi a cui le aziende si espongono ritardando o ignorando il patching.

Oltre tutto questo attacco porta con sé anche un ulteriore fattore critico noto: ESXi. Da mesi i sistemi ESXi (che non è un prodotto Linux, ma condivide con esso molte delle sue caratteristiche) sono nel mirino dei cyber criminali perché è alla base delle macchine virtuali, dei dispositivi Io e dei siti web. I gruppi ransomware stanno usando codici multipiattaforma proprio per colpire più obiettivi contemporaneamente, e per coinvolgere negli attacchi il parco macchine Linux. Ci sono stati attacchi devastanti che hanno fatto comprendere il livello di rischio: i difensori non possono permettersi di sottovalutare questo elemento. Allo stesso modo in cui non si sottovaluta più un problema allo spooler di stampa dopo i guai di Exchange Server. Perché quindi l’attacco del fine settimana ha potenzialmente colpito migliaia di vittime? Forse la risposta è – almeno in parte – nelle note di ACN: ieri decine di aziende non sapevano nemmeno di essere sotto attacco. Un problema culturale enorme che tutti i Governi stanno cercando di affrontare, ma che non sarà facile risolvere. Occorre un’attenta e capillare attività di awareness, fondi a disposizione delle aziende (il PNRR è un buon punto di partenza), normative serrate da rispettare (come il NIS2), figure professionali specializzate da formare. Il lavoro da fare è tantissimo, e nel frattempo gli attaccanti approfittano di ogni minima distrazione per colpire, in un quadro geopolitico instabile che può solo agevolare gli attacchi.

TIM Down

In Italia l’attacco di hacking si è sviluppato nelle stesse ore in cui la rete di TIM ha avuto disservizi in quasi tutta Italia, ufficialmente per “un problema di interconnessione al flusso dati su rete internazionale”. L’azienda e la Polizia Postale hanno escluso un legame fra i due avvenimenti, che si sarebbero verificati in contemporanea solo per pura casualità. Tuttavia le analisi sono ancora in corso, e fra le tante opzioni è al vaglio anche quella di un coinvolgimento nell’attacco dei router di Sparkle, azienda a cui fa capo la gestione della rete in fibra ottica della telco.