Prime pagine dei quotidiani nazionali oggi, aperture di telegiornali già ieri in serata, impazzata di commenti su Linkedin e via email di esperti cyber. Una notte travagliata per le aziende che temevano un attacco e per i manager di Vmware preoccupati per i clienti “non diligenti” con server esposti in rete, non aggiornati con le patch di sicurezza disponibili da anni. A livello mondiale.
Ma voglio partire a ritroso nel raccontare l’attacco hacker perpetrato nel weekend tramite un ransomware che ha preso di mira i server Vmware ESXi a livello mondiale, bloccandone il funzionamento e spingendo la minaccia fino al pagamento di un riscatto.
A ritroso per una “quasi” buona notizia. La stragrande maggioranza dei circa 2.000 attacchi non annovera l’Italia nelle prime posizioni, ma Francia (circa 800 server), Stati Uniti (270), Germania (240). Al momento sono 19 i server compromessi nel nostro Paese anche se il dato è in divenire, si stabilizzerà solo nelle prossime ore/giorni. La riunione conclusasi in mattinata a Palazzo Chigi (coordinata dal sottosegretario con la delega alla cybersecurity Alfredo Mantovano e da Roberto Baldoni, capo dell’Agenzia nazionale di Cybersecurity (Acn)) ha verificato che, “pur nella gravità dell’accaduto, in Italia nessuna istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita”, e non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno stato ostile.
Lungi dal pensarla una vittoria in una gara tra chi fa peggio/meglio o dal sottovalutare le implicazioni dell’attacco, il fatto che l’Italia non sia tra le nazioni che si sono dimostrate “estremamente vulnerabili” – stando alle attività ricognitive compiute dalla Agenzia per la cybersicurezza nazionale e dalla Polizia postale ad oggi – credo che premi l’operato di tante persone. Il grande lavoro fatto in questi anni di sensibilizzazione sui temi cyber, sull’importanza di definire una corretta postura di sicurezza delle aziende integrandola by design, sull’importanza della prevenzione, sulla necessita di considerare la sicurezza tema strategico per i board per garantire la continuità operativa del business (abbiamo visto durante il Covid quanto pericolosi siano stati attacchi a istituzioni pubbliche e sanitarie, ma anche quanto dannosi siano per il blocco della operatività di aziende private come dimostra il recente danno a Libero.it in down per giorni). Grazie ai molteplici strumenti di indagine (osservatori, barometri, ricerche, analisi) ma grazie soprattutto all’operato dei singoli security manager di aziende piccole, medie fino ai Ciso (Chief information security officer) delle grandi realtà. A loro va la quotidianità di queste scelte.
Ma qui la prima amarezza, essendo il sistema di Vmware tra i più diffusi per la virtualizzazione delle infrastrutture ed essendo la sua vulnerabilità nota da anni e già sanata dal vendor nel febbraio del 2021.
Che avrebbe portuto esserci un attacco era già stato segnalato agli interessati dal Computer Security Incident Response Team Italia (Csirt-IT) di Acn nelle scorse settimane “come ipoteticamente possibile fin dal febbraio 2021” e così è stato. L’attacco si è scatenato nel weekend, a partire alla serata di venerdì 3 febbraio fino all’escalation di domenica 5, per compromettere quasi duemila server Vmware in tutto il mondo, dai paesi europei fino a Canada e Stati Uniti.
Difficile giustificare le organizzazioni che non si sono protette per tempo facendo l’aggiornamento anche se, si sa, fare un aggiornamento di sistemi vecchi non nasconde difficoltà (ma non deve essere una scusa). “Taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze” riporta il comunicato di Acn ribadendo come sia prioritario per chiunque chiudere le falle individuate e sviluppare un’adeguata strategia di protezione. Precisa: “Siamo stati in grado di censire diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.
Anche Vmware ha emesso un comunicato stamattina sulla falsariga di quello governativo. Ha dichiarato il country manager Raffaele Gigantino: “La sicurezza dei nostri clienti è una priorità assoluta per Vmware. Secondo quanto riportato pubblicamente, una variante di ransomware denominata ESXiArgs sembra sfruttare CVE-2021-21974, una vulnerabilità di due anni fa per la quale sono state rese disponibili le patch nel security advisory di Vmware del 23 febbraio 2021. La security hygiene è una componente fondamentale per prevenire gli attacchi ransomware e i clienti che utilizzano versioni di ESXi affette da CVE-2021-21974 e non hanno ancora applicato la patch devono agire come indicato nell’avviso. Ulteriori indicazioni per l’hardening di ESXi sono disponibili nella Security Configuration Guide di Vmware. Vmware consiglia a tutti i clienti di iscriversi alla nostra mailing list di avvisi di sicurezza e di visitare il nostro Ransomware Resource Center per una guida dettagliata sulla prevenzione, il rilevamento e la risposta al ransomware”.
Gli investimenti in cybersecurity cresciuti notevolmente nel 2022 (come riportato nel Rapporto Il digitale in Italia di Anitec-Assinform) si confermano anche nel 2023, fonte Barometro Cybersecurity: cresceranno del 13,4 % per raggiungere un valore complessivo di 1.788 milioni di euro, contro i 1.576 del 2022 (un mercato a sua volta cresciuto del 13,5% rispetto al 2021).
Ma la “grande strategia” delle aziende deve essere accompagnata da “semplici consigli ovvi per molti” come li ha definiti stamattina Marco Ramilli, Ceo di Yoroi – Tinexta Group, uno dei massimi esperti di cybersecurity in Italia. Li riporto.
1. Quando possibile “aggiornate” non “procastinate”
2. Evitate di esporre asset in rete, esistono numerosi metodi per evitare l’esposizione
3. Aumentate la visibilità del perimetro
4. In caso di incidente affidatevi a professionisti, possibilmente emotivamente non coinvolti, esterni alla struttura.
A questo riguardo, la raccomandazione dell’Agenzia nazionale è di seguire le indicazioni del bollettino di sicurezza riportato sul portale pubblico https://csirt.gov.it, che include anche le procedure per risolvere la vulnerabilità di questi giorni. Ma la loro valenza va oltre il singolo caso specifico per intensificare le misure di prevenzione e mai abbassare la guardia sulle vulnerabilità dei sistemi.
© RIPRODUZIONE RISERVATA
