Attacco hacker oggi in tutto il mondo, colpita l’Italia: «Decine di sistemi compromessi»
articolo di Paolo Ottolina: https://www.corriere.it/tecnologia/23_febbraio_05/attacco-hacker-in-corso-italia-colpita-decine-di-sistemi-nazionali-compromessi-66cbbb59-a818-4870-8b98-833794581xlk.shtml
L’Agenzia per la cybersicurezza nazionale: «Riguarda tutto il mondo, qualche migliaio di server compromessi». Giovedì l’attacco ad Acea
Un «massiccio attacco tramite un ransomware già in circolazione» è stato rilevato dal Computer security incident response team Italia dell’Agenzia per la cybersicurezza nazionale (Acn), secondo cui l’attacco è in corso in tutto il mondo e riguarda «qualche migliaio di server compromessi». Colpita pesantemente anche l’Italia, insieme ad altri Paesi europei come la Francia, il Paese più danneggiato, e la Finlandia ma anche il Nord America, con Canada e Stati Uniti. In Italia, spiega ancora l’Acn, sono decine le realtà che hanno riscontrato l’attività malevola nei loro confronti e il numero è destinato ad aumentare.
Secondo fonti del Corriere non ci sarebbero legami tra l’attacco e i recenti fatti di attivismo politico in Italia o gli scenari internazionali; si tratterebbe piuttosto di cyber-criminali comuni, interessati a estorcere denaro alle aziende e istituzioni colpite.
Server VMware ESXi – La vulnerabilità colpisce in particolare i server VMware ESXi ed è stata sfruttata con attacchi ransomware che, cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione. La vulnerabilità sfruttata dagli hacker è già stata corretta nel passato dal produttore e parecchio tempo fa: addirittura nel febbraio 2021. Due anni fa quindi, ma evidentemente molti amministratori di sistema non si erano presi la briga di applicare le corrette patch, ovvero le «correzioni» adeguate ai server. La vulnerabilità, non corretta, ha permesso agli hacker di sferrare l’ondata di attacchi registrata nel weekend. I primi ad accorgersene, riferisce l’Acn, sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in Francia. Successivamente l’ondata di attacchi si è spostata su altri paesi, tra cui l’Italia.
L’allerta dell’Acn: chiudere le falle subito – L’Autorità nazionale per la sicurezza informatica ribadisce nella nota «che è prioritario per chiunque chiudere le falle individuate e sviluppare un’adeguata strategia di protezione». Per i tecnici dell’Acn, infatti, «siamo stati in grado di censire diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi».
Il bollettino da consultare – La nota dell’Acn entra nel tecnico: la vulnerabilità individuata dalle recenti analisi come CVE-2021-21974 (già sanata, come detto, dal vendor VMWare nel febbraio 2021), riguarda i sistemi esposti su Internet che offrono servizi di virtualizzazione basati sul prodotto VMWare ESXi, e ha un impatto elevato, stimato dalla comunità tecnica come «rischio alto/arancione» (70,25/100). E tuttavia non si esclude che anche altre vulnerabilità possono essere sfruttate da attori malevoli: l’Acn (attraverso lo CSIRT Italia) ha pubblicato sabato uno specifico bollettino con le procedure per risolvere la vulnerabilità, ai quali i responsabili tecnici dei servizi IT pubblici e privati sono invitati a fare riferimento
Legami con #TimDown? – Per ora non ci sono conferme di un legame tra l’allarme dell’Acn e i problemi di Tim, con un #TimDown segnalato fin dalla mattina di mercoledì e moltissimi disagi segnalati da varie zone d’Italia. Giovedì Acea, l’azienda romana dell’energia elettrica, dell’acqua e del gas, era stata colpita da un attacco ransomware molto serio, con difficoltà a ripristinare la piena operatività.
Cos’è il ransomware – Il ransomware è una minaccia informatica che infetta un sistema, lo blocca o ne compromette l’usabilità e poi richiede il pagamento di un riscatto (ransom) per poter tornare a utilizzarlo. Tutti i file all’interno del sistema, che può essere un computer o un’intera rete di una o più aziende, vengono crittografati così da essere illeggibili dal legittimo proprietario e il codice di sblocco viene dato solo previo pagamento. L’infezione avviene tramite un link o un allegato in una mail, che vengono cliccati da uno degli utenti del network. Una volta entrati su un computer possono rimanere dormienti per mesi prima di attivarsi. Sembrerebbe questo il caso dell’attacco che ha colpito l’Italia.
Tim down, problemi alla rete Telecom Italia segnalati in molte regioni: cosa sta succedendo
articolo di Paolo Ottolina: https://www.corriere.it/tecnologia/23_febbraio_05/tim-down-problemi-alla-rete-telecom-italia-segnalati-in-molte-regioni-cosa-sta-succedendo-e6b6b894-38cd-4673-93aa-bf38697a3xlk.shtml
Impennata di segnalazioni sulla rete di Telecom Italia a partire dalla mattina del 5 febbraio. L’azienda: problema di interconnessione internazionale. Il caso dell’attacco hacker ransomware contro l’Italia
Ancora difficoltà per la rete Internet italiana. Dopo il lunghissimo disservizio alle mail di Libero e Virgilio, ora ufficialmente concluso con tanto di promesse di ristori per i clienti colpiti, domenica 5 febbraio è stato il turno di Tim. La rete dell’ex monopolista ha vissuto problemi in tutta Italia, con migliaia di segnalazioni di disservizi registrate da pagine quali Downdector e assistenza-clienti.it a partire dalle 11 circa di domenica ma poi proseguiti, a macchia di leopardo, nelle ore successive.
Secondo quanto ha reso noto un portavoce dell’azienda, sulla rete Tim «è stato rilevato un problema di interconnessione internazionale e sono in corso le analisi per la risoluzione del problema. Il problema ovviamente impatta sul servizio a livello nazionale». Nel pomeriggio, l’Agenzia per la cybersicurezza nazionale (Acn) ha diffuso la notizia di un massiccio attacco hacker che ha colpito l’Italia, con «decine di sistemi compromessi» da un ransomware e altri già infettati. Non è chiaro al momento se i due fatti, il down di Tim e l’attacco hacker, siano connessi. Nel primo pomeriggio la Polizia Postale aveva escluso un cyber-attacco per il down di Tim, parlando più semplicemente di «problemi tecnici che interessano la rete Internet fissa e non quella mobile».
Per Netblock, che monitora il traffico Internet globale, l’Italia è scesa al 26% della sua connettività consueta (vedi sopra). Un dato che spiegherebbe perché nel pomeriggio di domenica – secondo i grafici di Downdetector, (vedi sotto) – le segnalazioni di disservizi si sono allargati a diversi altri operatori e servizi.
#timdown – Le segnalazioni, condite da diversi tweet tra l’arrabbiato e l’indignato (l’hashtag #TimDown è salito rapidamente al primo post tra i Trending Topics italiani), hanno riguardato l’accesso a Internet da rete fissa di abbonati di Telecom Italia e in alcuni casi anche da mobile.
Come spesso capita il maggior numero di problemi sembra concentrarsi nei maggiori centri urbani, da Milano a Roma, da Torino a Napoli e Bari.
I servizi di customer care di Tim sui social hanno replicato scrivendo: «È in corso un disservizio a livello nazionale che impatta tutti i servizi. Le aree tecniche di competenza stanno effettuando tutte le operatività per il ripristino».
I tifosi di calcio – Molti utenti arrabbiati soprattutto nella zona di Napoli, per l’impossibilità di seguire Spezia-Napoli su Dazn (che non ha responsabilità in merito). A cui si sommano le preoccupazioni di chi invece attende Inter-Milan: a differenza della partita della capolista – trasmessa anche via satellite su Sky -, per poter assistere al derby di Milano è necessaria una connessione Internet.
Dazn ha fatto un tweet parlando di «problemi sulla rete internet di uno dei principali operatori telefonici, che stanno creando disservizi ai suoi clienti e, conseguentemente, anche ad alcuni clienti DAZN».
a l e s s a n d r o 5 4 