Fra sabato 4 e domenica 5 febbraio è andato in scena un massiccio attacco cyber contro le strutture informatiche di tutto il mondo, Italia compresa, di cui non è si sono ancora capiti esattamente né la portata né le conseguenze. Si sa tuttavia che sono stati compromessi “diverse decine di sistemi nazionali”, come riportato nella nota di ACN.

La cronistoria dell’accaduto, per quanto possibile ricostruire in questo momento, è piuttosto lineare. Il 3 febbraio il CERT francese dirama alert relativi allo sfruttamento di una vulnerabiltà nota di ESXi, la stessa oggetto di un alert del 4 febbraio dello CSIRT italiano: la CVE-2021–21974 presente nei prodotti VMware ESXi, accompagnata da un indice di rischio di 7,25 su 10, che corrisponde all’allerta alta (arancione). La falla in questione era già stata chiusa con apposita patch a febbraio 2021, quindi due anni addietro.

Domenica 5 febbraio l’agenzia di stampa ANSA ha riportato la notizia dell’attacco, portata avanti da un “ransomware già in circolazione” sfruttando proprio la suddetta falla, compromettendo decine di sistemi. A quanto si apprende dalle fonti i primi ad accorgersi di quello che stava accadendo sono stati i francesi, ma fra i Paesi interessati risultano Italia, Finlandia, Canada, Stati Uniti e altri.

Un mix micidiale

Questo attacco ha tutte le criticità tipiche del panorama odierno di cybersecurity da cui gli esperti mettono in guardia da tempo. Partiamo con il tempismo: l’allarme dello CSIRT italiano è stato diffuso di sabato alle 22:23, un orario in cui gli uffici sono vuoti e la maggior parte degli addetti ai lavori è di riposo. Solo i SOC 24/7/365 erano attivi, quindi non c’è da stupirsi che gli esperti “sono riusciti ad allertare diversi soggetti - istituzioni, aziende pubbliche e private - i cui sistemi risultano esposti e dunque vulnerabili agli attacchi ma "rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario", come riporta ANSA.

È un problema vecchio come la storia degli attacchi cyber: gli attaccanti (chiunque essi siano) preferiscono colpire nei week-end e nei periodi di vacanza per cogliere le difese sguarnite o assenti. È il motivo per il quale i vendor nell’ultimo anno si sono dannati a sottolineare che la security non è più un prodotto, per una difesa efficace servono i servizi. Guarda caso, servizi attivi H24, 7 giorni su 7. Le enterprise che se li possono permettere li erogano tramite il SOC interno, tutti gli altri dovrebbero sfruttare i servizi erogati dai vendor stessi o dagli MSP per non lasciare scoperta nemmeno un’ora.

La seconda questione è quella del patching. Quello che è accaduto nel fine settimana non stupisce gli addetti ai lavori: un produttore ha individuato una falla nei propri sistemi e l’ha corretta, come accade di continuo. Tutti gli utenti di quel sistema avrebbero dovuto chiudere in tempo zero la falla per evitare problemi, ma pochi lo fanno. C’è chi incolpa la mancanza di personale, chi il fatto che gli addetti sono oberati di lavoro più urgente, chi vuole evitare fermi produttivi diffondendo l’update. È tutto vero, ma queste scuse non salvano dagli attacchi gravi a cui le aziende si espongono ritardando o ignorando il patching.

Oltre tutto questo attacco porta con sé anche un ulteriore fattore critico noto: ESXi. Da mesi i sistemi ESXi (che non è un prodotto Linux, ma condivide con ecco molte delle sue caratteristiche) sono nel mirino dei cyber criminali perché è alla base delle macchine virtuali, dei dispositivi Io e dei siti web. I gruppi ransomware stanno usando codici multipiattaforma proprio per colpire più obiettivi contemporaneamente, e per coinvolgere negli attacchi il parco macchine Linux. Ci sono stati attacchi devastanti che hanno fatto comprendere il livello di rischio: i difensori non possono permettersi di sottovalutare questo elemento. Allo stesso modo in cui non si sottovaluta più un problema allo spooler di stampa dopo i guai di Exchange Server.

Perché quindi l’attacco del fine settimana ha potenzialmente colpito molte vittime? Forse la risposta è – almeno in parte – nelle note di ACN: ieri decine di aziende non sapevano nemmeno di essere sotto attacco. Probabilmente sono piccole aziende senza una figura verticale che si occupa di security, ma il problema culturale resta e tutti i Governi stanno cercando di affrontarlo: occorre un’attenta e capillare attività di awareness, fondi a disposizione delle aziende (il PNRR è un buon punto di partenza), normative serrate da rispettare (come il NIS2), figure professionali specializzate da formare. Il lavoro da fare è tantissimo, e nel frattempo gli attaccanti approfittano di ogni minima distrazione per colpire, in un quadro geopolitico instabile che può solo agevolare gli attacchi.

Per discutere dell’attacco lunedì 6 febbraio si tiene un vertice a Palazzo Chigi con il sottosegretario Alfredo Mantovano, autorità delegata per la cybersicurezza, il direttore di ACN, Roberto Baldoni, e la direttrice del DIS-Dipartimento informazione e sicurezza, Elisabetta Belloni. Dal vertice è emerso che non risultano istituzioni colpite in Italia. Man mano che trascorre il tempo la gravità di questo attacco si ridimensiona, mentre resta come elemento di preoccupazione la sua proporzione geograficamente estesa.

Le ipotesi sugli attaccanti

L’attribuzione è una delle fasi più complesse di una indagine a seguito di attacco di hacking. Man mano che trascorrono le ore prende sempre più quota l’ipotesi dell’attacco finanziariamente motivato e perde quota quella dell’attacco sponsorizzato da uno stato nazionale, quindi con motivazione politica. Le fonti ufficiali al riguardo scarseggiano, ma gli amministratori di alcuni sistemi colpiti hanno spiegato ai colleghi di Bleeping Computer che l’attacco ha comportato la crittografia dei file con le estensioni .vmxf, .vmx, .vmdk, .vmsd e .nvram sui server ESXi compromessi e la creazione di un file .args per ogni documento cifrato. Sembrerebbe che non ci sia stata esfiltrazione di dati.

Le vittime hanno trovato anche note di riscatto su sistemi bloccati che indicavano la cifra da versare per ricevere in cambio la chiave di decifrazione: due bitcoin, poco più di 20mila euro al cambio attuale. Al momento il gruppo a cui viene ricondotto l’attacco è monitorato con il nome di "ESXiArgs".

TIM Down

In Italia l’attacco di hacking si è sviluppato nelle stesse ore in cui la rete di TIM ha avuto disservizi in quasi tutta Italia, ufficialmente per “un problema di interconnessione al flusso dati su rete internazionale”. L’azienda e la Polizia Postale hanno escluso un legame fra i due avvenimenti, che si sarebbero verificati in contemporanea solo per pura casualità.

I commenti degli esperti

Fabio Buccigrossi, Country Manager di ESET Italia, ha commentato quanto accaduto sottolineando che “A prima vista questo attacco è simile agli incidenti globali di ransomware del 2017, ma questa volta ha un aspetto peggiore: nel 2017 la vulnerabilità era attiva da poche settimane quando è stata sfruttata da Eternalblue. Questa volta (nei server VMware ESXi) la falla risale a 2 anni fa ed è completamente patchabile. Purtroppo, ciò dimostra che tutte le lezioni del passato non sono servite a molto. Ora si tratta di correre ai ripari. I criminali informatici sono molto rapidi nel prendere di mira le organizzazioni che non stanno al passo. Gli aggiornamenti di sistema su questa scala possono sembrare un compito titanico, nulla però al confronto del potenziale risultato di un attacco malware progettato per sfruttare in modo speciale coloro che hanno ancora una vulnerabilità. Le misure preventive sono spesso la migliore linea d'azione per proteggersi dai tentativi di ransomware effettuati dai cyberattaccanti globali. Misure come il mantenimento delle reti costantemente aggiornate con le ultime patch sono fondamentali per rendere i sistemi sufficientemente sicuri da respingere questi attacchi purtroppo inevitabili. È essenziale che, una volta che le vulnerabilità sono state corrette dai produttori, questi aggiornamenti vengano eseguiti su ogni endpoint per renderli più resistenti“.

Si concentra sulla gestione delle vulnerabilità anche Giampaolo Dedola, Senior Security Researcher, Global Research and Analysis Team (GReAT) Kaspersky: “la recente campagna d’infezioni ransomware che sta interessando i server ESXi in varie parti del mondo mostra come l’applicazione di requisiti di sicurezza minimi, come l’installazione puntuale degli aggiornamenti di sicurezza, sia ancora oggi un problema comune. Le informazioni attualmente a disposizione indicano che gli attaccanti stanno utilizzando come vettore d’infezione una vulnerabilità nota, per la quale sono disponibili pubblicamente dei PoC (proof of concept), esempi di codice che mostrano come sfruttare la vulnerabilità. Dalle prime analisi si evince inoltre una similarità tra il ransomware usato in questi attacchi e “Babuk”, un noto ransomware il cui codice è anch’esso disponibile pubblicamente e potrebbe essere stato utilizzato come base di partenza per lo sviluppo del malware. Queste condizioni comportano che anche attaccanti sprovvisti di elevate competenze tecniche possono lanciare azioni offensive di successo. La campagna in questione mette quindi in evidenza il livello di rischio a cui vengono esposte le macchine raggiungibili tramite internet e non protette adeguatamente”.

Sulla stessa linea è Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security di Barracuda Networks, secondo cui “i diffusi attacchi ransomware segnalati contro i sistemi VMware ESXi privi di patch in Europa e nel mondo sembrano aver sfruttato una vulnerabilità per la quale era stata resa disponibile una patch nel 2021. Ciò evidenzia quanto sia importante aggiornare i principali sistemi di infrastruttura software il più rapidamente possibile, sebbene non si tratti di un’operazione facile per le organizzazioni. Nel caso di questa patch, ad esempio, le aziende devono disattivare temporaneamente parti essenziali della loro infrastruttura IT. Tuttavia, è preferibile affrontare questo tipo di inconveniente piuttosto che essere colpiti da un attacco potenzialmente distruttivo.

Fondamentale è proteggere l'infrastruttura virtuale che può rivelarsi un bersaglio interessante per il ransomware, poiché spesso esegue servizi o funzioni business critical. Un attacco riuscito può avere gravi ripercussioni. Ecco perché è particolarmente importante far sì che l'accesso alla console di gestione di un sistema virtuale sia protetto e non possa essere facilmente raggiungibile attraverso, ad esempio, un account compromesso sulla rete aziendale. Per assicurare una protezione completa, è importante isolare l'infrastruttura virtuale dal resto della rete aziendale, preferibilmente nell'ambito di un approccio Zero Trust. Le organizzazioni che utilizzano ESXi devono assicurarsi immediatamente l’aggiornamento alla versione più recente, se non l'hanno già fatto, ed effettuare una scansione completa della sicurezza dei server per verificare che non siano stati compromessi".

Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies, reputa che “il recente e massiccio attacco informatico ai server ESXi è considerato il cyber attack più esteso mai segnalato a macchine non Windows. A rendere ancora più preoccupante la situazione è il fatto che fino a poco tempo fa gli attacchi ransomware erano limitati proprio alle macchine basate su Windows. Gli attori delle minacce ransomware hanno capito quanto siano cruciali i server Linux per i sistemi di enti e organizzazioni. Questo li ha sicuramente spinti a investire nello sviluppo di un'arma informatica così potente e a rendere il ransomware così sofisticato.Secondo quanto analizzato anche dal nostro team di ricerca, l’attacco ransomware non si è fermato solo all'infrastruttura informatica italiana. I criminali informatici hanno sfruttato CVE-2021-21974, una falla già segnalata a febbraio 2021. Ma ciò che può rendere ancora più devastante l’impatto è l’utilizzo di questi server, sui quali solitamente sono in esecuzione altri server virtuali. Quindi, il danno è probabilmente diffuso su ampia scala, più di quanto possiamo immaginare.”