Titoli da panico per il "massiccio attacco hacker" in Italia: i dati concreti

Ultimo aggiornamento: 2023/02/09 22:20.

Scrive Rainews: “Agenzia per la cybersicurezza: "E' in corso un massiccio attacco hacker"
I tecnici dell'Agenzia hanno già censito "decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi""”.

Come al solito, siccome in tante redazioni linkare le fonti è considerato un abominio, non viene riportata l’indicazione più importante, ossia l’informazione tecnica del CSIRT. È qui. E dice una cosa che Rainews ha tralasciato di mettere in evidenza: la falla di VMware ESXi sfruttata per l’attacco è stata corretta dal vendor due anni fa.

No, dico, due anni fa. L’avviso del CSIRT lo dice chiaramente: “vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021”.

Parliamoci chiaro: se non patchi un sistema da due anni e per di più lo esponi direttamente a Internet, prendi una canna da pesca e smetti di fare danni, perlamordiddio.

E per favore piantiamola con i titoli sensazionalisti: il titolo corretto, qui, non è “È in corso un massiccio attacco hacker” ma “Imbecilli non aggiornano da 2 anni computer esposti a Internet, si beccano quello che si meritano”.

Gli anglofoni hanno un modo di dire perfettamente azzeccato per queste occasioni: FAFO. Fuck around, find out. Ossia, grosso modo, “Fai una cretinata, scoprine le conseguenze”.

---

Se vi interessano i dettagli tecnici, BleepingComputer ha pubblicato un ottimo articolo in proposito; Censys ha un elenco dei server colpiti; e qui ci sono istruzioni per proteggere i server e per tentare il recupero dei file cifrati dal ransomware.

Look at the world! look how many OLD ESXi servers are exposed :D https://t.co/z2ykKB3sGB pic.twitter.com/Jeqr9veyRr

— mRr3b00t (@UK_Daniel_Card) February 5, 2023

Secondo Censys, in Italia i server colpiti (non quelli vulnerabili, ma quelli che sono già stati infettati) sono almeno una ventina; in Svizzera sono più o meno altrettanti.

---

Ho parlato della vicenda a Teleticino (video) e a Radio Radicale (registrazione audio).

La nota del governo italiano è molto netta (evidenziazioni mie): “L’aggressione informatica, emersa già dalla serata del 3 febbraio e culminata ieri in modo così diffuso, era stata individuata da ACN [Agenzia per la Cybersicurezza Nazionale] come ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia aveva allertato tutti i soggetti sensibili affinché adottassero le necessarie misure di protezione. Taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze. Per fare una analogia con l’ambito sanitario, è accaduto come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a una opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute per chi a quella prevenzione non abbia ottemperato".”

Non avrei saputo dirlo meglio.

---

2023/02/09 22:20. Anche la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha pubblicato uno script e delle istruzioni per il recupero dei dati in caso di attacco con questo ransomware.