Prova subito Bitdefender, Tra i Migliori Antivirus
Il 5 febbraio l’Agenzia per la Cybersicurezza Nazionale (ACN) ha segnalato un massiccio attacco ransomware. Questo ha compromesso diversi sistemi a livello nazionale e internazionale colpendo diverse migliaia di server in più di 300 organizzazioni. L’attacco informatico, partito dalla Francia che ha poi colpito Stati Uniti, Canada ed Europa, sembra essere ben diverso dagli attacchi che normalmente ci racconta la cronaca quotidiana, con danni e data breach rivolti a organizzazioni private.
Le riflessioni degli esperti sul recente attacco ransomware globale
L’attacco ransomware ai server ESXi di VMware conferma che l’attenzione alla sicurezza per molte aziende italiane è ancora troppo bassa. L’attacco rilevato dal Computer Security Incident Response Team (CSIRT) italiano si basa su una vulnerabilità nota, CVE-2021-21974, già corretta in passato dal produttore, ma che non tutte le aziende che utilizzano tali sistemi avevano risolto. Attraverso i sistemi di monitoraggio con strumenti di Open Source Intelligence sono state identificate ben 44 aziende compromesse e altre 404 potenzialmente compromesse in Italia. Ma cosa si sarebbe dovuto fare per contenere i danni? Ecco cosa ne pensano gli esperti.
Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies
Già lo scorso luglio, il threat intelligence Check Point Research, aveva segnalato un aumento del ransomware del 59%, su base annua e a livello globale. “Data la crescita smisurata degli attacchi ransomware è evidente come in questa era digitale, difendersi e prevenire le minacce informatiche debba essere la priorità numero uno di enti, organizzazioni e utenti privati. Serve una strategia di cybersecurity che coinvolga tutti, dal singolo cittadino ai vertici governativi è assolutamente vitale” ha dichiarato Pierluigi Torriani.
L’attacco ai server ESXi è considerato il cyber attack più esteso mai segnalato a macchine non Windows. A rendere ancora più preoccupante la situazione il fatto che fino a poco tempo fa gli attacchi ransomware erano limitati alle macchine basate su Windows. Gli attori delle minacce ransomware hanno capito quanto siano cruciali i server Linux per i sistemi di enti e organizzazioni. Questo li ha spinti a investire nello sviluppo di un’arma informatica così potente e a rendere il ransomware così sofisticato.
Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security di Barracuda Networks
Il recente attacco ha evidenziato l’importanza di aggiornare i principali sistemi di infrastruttura software il più rapidamente possibile nonostante non si tratti di un’operazione facile per le organizzazioni. “Nel caso della patch resa disponibile da VMware nel 2021 per la vulnerabilità dei sistemi ESXi le aziende devono disattivare temporaneamente parti essenziali della loro infrastruttura IT. Tuttavia, è preferibile affrontare questo tipo di inconveniente piuttosto che essere colpiti da un attacco potenzialmente distruttivo” ha commentato Stefan van der Wal.
“Per assicurare una protezione completa, è importante isolare l’infrastruttura virtuale dal resto della rete aziendale, preferibilmente nell’ambito di un approccio Zero Trust. Le organizzazioni che utilizzano ESXi devono assicurarsi immediatamente l’aggiornamento alla versione più recente, se non l’hanno già fatto. Devono poi effettuare una scansione completa della sicurezza dei server per verificare che non siano stati compromessi.“
Giampaolo Dedola, Senior Security Researcher, Global Research and Analysis Team Kaspersky
Dalle prime analisi si evince una similarità tra il ransomware usato in questo attacco e Babuk, un noto ransomware il cui codice è anch’esso disponibile pubblicamente e potrebbe essere stato utilizzato come base di partenza per lo sviluppo del malware. Queste condizioni comportano che anche attaccanti sprovvisti di elevate competenze tecniche possono lanciare azioni offensive di successo. La campagna in questione mette quindi in evidenza il livello di rischio a cui vengono esposte le macchine raggiungibili tramite internet e non protette adeguatamente.
“Nei primi dieci mesi del 2022, la percentuale di utenti attaccati è quasi raddoppiata rispetto allo stesso periodo del 2021. Questa crescita così impressionante indica che le organizzazioni di ransomware hanno continuato a perfezionare le loro tecniche e a sviluppare nuove varianti di ransomware. Nel 2022 ne abbiamo rilevate più di 21.400” ha commentato Giampaolo Dedola.
Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI
Secondo l’ultimo Security Leader Research report condotto in Italia da Vectra AI, il ransomware si conferma la principale preoccupazione per i responsabili della sicurezza. Il 60% degli intervistati teme che un attacco simile vada a segno sottraendo dati alla propria organizzazione. Il 40% ammette di non riuscire a rilevare le moderne minacce informatiche.
“I team di sicurezza hanno bisogno di individuare i segnali di un attacco prima che diventi una violazione e di integrare funzionalità avanzate di rilevamento e risposta per mitigare le minacce che stanno già aggirando i controlli esistenti. Dotando gli analisti di soluzioni di intelligenza artificiale, le organizzazioni possono dare priorità alle minacce altrimenti sconosciute e urgenti che rappresentano il rischio maggiore per il business. Ciò migliora la produttività degli analisti e li mette in grado di ridurre il rischio e mantenere le organizzazioni al sicuro” ha dichiarato Massimiliano Galvagna.
Marco Lucchina, Channel Manager di Italia, Spagna e Portogallo di Cynet
“Attraverso il monitoraggio con strumenti di Open Source Intelligence, gli stessi usati dagli attaccanti, ad oggi abbiamo identificato, in Italia, 44 aziende compromesse e altre 404 potenzialmente compromesse. I rimanenti sono, in prevalenza, sistemi in hosting presso service provider in quanto sono sistemi non gestiti e a volte addirittura dimenticati. Inoltre, di questi potenziali bersagli, una parte sono sicuramente honeypot, un sistema o componente hardware o software usato come esca utilizzati per osservare dall’interno il meccanismo di attacco e ricavarne gli opportuni Indicatori di compromissione (IoC).”
Per Marco Lucchina, inoltre, l’allarme è stato lanciato in modo eccessivo, scatenando panico senza alcuna informazione di contesto: “Si è generata una situazione di infodemia: ieri sera abbiamo ricevuto decine di richieste di intervento senza che ci fosse alcun valido motivo. Stavamo osservando lo svolgersi dell’attacco già da diversi giorni e, negli ultimi anni, ne abbiamo dovuti affrontare anche di più pericolosi.”.
Secondo Marco Lucchina inoltre, occorre considerare che gran parte delle aziende nel mirino non ha potuto avere un approccio strutturato all’accaduto. Questo perché non in possesso di adeguate soluzioni di monitoraggio dei propri sistemi.
- Fratepietro, Stefano (Autore)
- Sbaraglia, Giorgio (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!