Un “massiccio attacco tramite un ransomware già in circolazione” è stato rilevato dal Computer security incident response team Italia dell’Agenzia per la cybersicurezza nazionale. I tecnici dell’Acn hanno già censito “diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi”. Tuttavia, si spiega, “rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.

L’attacco ha preso di mira un particolare tipo di server (VMware ESXi) che presenta una vulnerabilità sfruttata dagli hacker già corretta in passato dal produttore, ma, evidenza Acn, non risolta da tutti coloro che usano questo tipo di sistemi, per cui i server presi di mira, se privi delle correzioni adeguate, “possono aprire le porte agli attaccanti” .

I primi ad accorgersi dell’attacco sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in quel Paese. Successivamente l’ondata di attacchi si è spostata su altri paesi tra cui l’Italia. In questo momento sono qualche migliaio i server compromessi in tutto il mondo, dai paesi europei come Francia – paese più colpito – Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti.

In Italia sono decine le realtà che hanno riscontrato l’attività malevola nei loro confronti ma – secondo gli analisti – sono destinate ad aumentare. Lo sfruttamento della vulnerabilità, spiega ancora l’Agenzia,  “consente in una fase successiva di portare attacchi ransomware che cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione”.

Che cos’è un attacco ransomware

Il ransomware è un malware, cioè un “software malevolo” che cripta i file presenti sul computer della vittima, rendendoli illeggibili e non più utilizzabili senza una chiave di decifrazione che viene data dagli hacker solo dietro pagamento di un riscatto.

Di solito per i privati si tratta di cifre non impossibili, tra le decine e le centinaio di euro, che le vittime di norma pagano pur di non perdere dati; nel caso di grandi organizzazioni, aziende o enti pubblici, le cifre invece possono essere molto alte.

I ransomware sono, nella maggioranza dei casi, dei trojan diffusi tramite siti web malevoli o compromessi, ovvero per mezzo della posta elettronica. In genere si presentano come allegati apparentemente innocui (come, ad esempio, file PDF) provenienti da mittenti legittimi (soggetti istituzionali o privati). La loro verosimiglianza induce gli utenti ad aprire l’allegato, il quale riporta come oggetto diciture che richiamano fatture, bollette, ingiunzioni di pagamento ed altri oggetti simili: una volta aperto il file, il ransomware entra nel pc o nel telefono della vittima e lo cripta.

rainews.it