All'inizio di questa settimana, in concomitanza con l'inizio del festival di Sanremo (cosa che forse ha contribuito a sviare l'attenzione), una notizia bomba ha scosso gli ambienti dell'informatica in Italia. Un presunto mega attacco hacker, di proporzioni apocalittiche, avrebbe compromesso dei server di primaria importanza per la sicurezza nazionale nella pubblica amministrazione, mettendo a rischio i dati di milioni di persone.
La notizia è stata anche molto circostanziata: è stato reso noto il sistema bucato (Esxi di Vmware), il tipo di minaccia (un ransomware, che avrebbe criptato i server per poi chiedere un riscatto economico), e la notizia di una riunione avvenuta a Palazzo Chigi per valutare i danni e concordare il da farsi. Insomma, ce n'era abbastanza per allarmarsi molto.
Il sistema colpito, Esxi di VMware
Dicevamo che quello che si sa per certo è che ad essere interessato all'attacco è Esxi, un software della nota casa VMware. Diffuso in tutto il mondo, Esxi è sostanzialmente un emulatore, un applicativo che installato su una macchina può simulare la coesistenza di due o più sistemi operativi differenti. L'utilità è soprattutto in ambienti di sviluppo, quando si realizzano software o applicazioni e si deve testare come questi software girano su ambienti diversi.
Di per sè, VMware è una società iper affidabile (costola di Dell) che si occupa prevalentemente di virtualizzazioni. Il ransomware che ha colpito Esxi si chiama ESXIArgs e sfruttando una vulnerabilità si è introdotto nelle macchine dei clienti criptando interi server.
Il problema, però, è che la patch di fix della vulnerabilità che ha consentito l'attacco era stata rilasciata addirittura ad agosto 2021. Si trattava quindi di una problematica nota come nota era la sua risoluzione. Come si installano le patch? Aggiornando quando il sistema lo richiede. E come mai allora, l'attacco è stato così ingente?
Il mancato aggiornamento
La risposta è ovvia (e, per certi versi, sconfortante): tutti coloro che si sono ritrovati le macchine infettate non avevano aggiornato quando era comparso l'avviso che chiedeva di farlo! E come se non bastasse, non aggiornavano da diverso tempo.
Quello che sconvolge di tutta questa storia è che un attacco di proporzioni così ampie è stato causato e per certi versi favorito non tanto dall'abilità dei soliti ignoti, ma dall'imperizia e dalla noncuranza di chi doveva effettuare una manutenzione puntuale dei sistemi e invece, per chissà quali e quanti motivi, non l'ha fatto.
Va detto che il grosso delle vittime è stata registrata in Francia, USA e Germania, mentre l'Italia ha una quota molto bassa di infezioni come si può vedere dall'immagine in basso (tratta da questo articolo di RedHotCyber che spiega anche in termini estremamente tecnici i dettagli dell'attacco e del funzionamento del ransomware)
Dalla riunione a Palazzo Chigi, poi, è emerso che nessun sistema governativo o di importanza strategica per la PA è stato intaccato.
Aggiornate!
In conclusione, aggiornate sempre quando il sistema ve lo chiede! Se l'alert appare, del resto, un motivo c'è!
Vi lasciamo i link di tutti gli approfondimenti alla questione curati dagli amici di RedHotCyber
Royal ransomware si specializza su VMware ESXi. Attenzione a tenerli al sicuro!
VMware: patchare i server ESXi, disabilitare il servizio OpenSLP!