0 4 minuti 1 anno

In troppi hanno ignorato le patch, disponibili da 2 anni. Viene chiesto un compenso di circa 2 bitcoin (42 mila euro) per sbloccare i dati criptati dal ransomware

di Paolo Ottolina

Concedeteci di usare una frase fatta, eppure talvolta non meno vera, che spesso abbiamo sentito per gravi fatti di cronaca: «Una strage annunciata».

In tarda serata i sistemi colpiti e bloccati dall’attacco ransomware globale reso noto domenica dall’Agenzia per la Cybersicurezza nazionale aveva superato in tutto il mondo quota 2.100. Un numero che sale rapidamente.

 

La vulnerabilità sfruttata dai cyber-criminali era tutt’altro che sconosciuta. La soluzione, la «patch» (toppa) come si dice in gergo, era stata rilasciata ben due anni fa, nel febbraio 2021, da VMware, l’azienda del software coinvolto. «E 3 giorni fa il Cert francese (il Centro di risposta le allerta cyber, ndr) aveva lanciato l’allarme: è stato più o meno ignorato e questo fatto è di una gravità sconcertante» ci dice Corrado Giustozzi, divulgatore ed esperto di cyber-sicurezza, partner di Rexilience.

Ogni attacco informatico sfrutta sempre una vulnerabilità nel software. In questo caso quella riscontrata nei diffusi software di «virtualizzazione» della californiana VMware («virtualizzare» significa fare girare in modo simulato, via software, un programma o un sistema su un altro hardware).

In questo caso la soluzione per il problema era stata messa a disposizione da VMware ben due anni fa, nel febbraio 2021. «C’è di mezzo una catena infinita di sciatteria e disinteresse per non aver fatto gli aggiornamenti dovuti… E per di più il software in questione può essere attaccato solo se esposto su Internet, cosa che andrebbe evitata. Chi è nei guai non dico che se li è andati a cercare ma di certo non si è mosso in tempo con le contromisure» dice con amarezza Giustozzi.  Tra gli oltre 2.100 server colpiti ci sono moltissime aziende e pubbliche amministrazioni (tra cui il comune francese di Biarritz, uno dei pochi bersagli trapelati al momento).

Che cosa chiedono gli attaccanti

Sui computer bloccati dal ransomware viene lasciata una nota che dice: «Allarme rosso!!! Abbiamo hackerato con successo la tua azienda. Tutti i file vengono rubati e crittografati da noi. Se si desidera recuperare i file o evitare la perdita di file, si prega di inviare 2.0 Bitcoin. Invia denaro entro 3 giorni, altrimenti divulgheremo alcuni dati e aumenteremo il prezzo. Se non invii bitcoin, informeremo i tuoi clienti della violazione dei dati tramite e-mail e messaggi di testo».

Il wallet, il portafoglio digitale, su cui versare i bitcoin è differente in ogni nota di riscatto, così come l’importo (a volte vengono chiesti 2,064921 bitcoin, altre 2,01584 e così via: con la quotazione attuale sono circa 42 mila euro). Nessun link di riferimento per il pagamento.

Nevada

Si sospetta che le intrusioni siano correlate a un nuovo ceppo ransomware basato su Rust e chiamato Nevada, emerso sulla scena nel dicembre 2022. Altre famiglie di ransomware simili includono BlackCat, Hive, Luna, Nokoyawa, RansomExx , Agenda. Al gruppo che si cela dietro Nevada ha dedicato un ritratto dettagliato il sito Resecurity.
Gli esperti però sono concordi: l’offensiva sembra essere legata a cyber-gang comuni. Comuni non per le abilità ma nel senso che mancano (almeno al momento) collegamenti con il terrorismo internazionale o con situazioni geopolitiche di attualità. Non nota la nazionalità, anche se la maggior parte dei gruppi attivi nel ransomware gravita nell’Europa dell’Est.

Sorgente: Attacco hacker in Italia, cosa sappiamo: anni di errori a catena, il ricatto: «Ora dacci 42.000 euro in bitcoin» | Corriere.it


Scopri di più da NUOVA RESISTENZA antifa'

Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.