Scrive
Rainews:
“Agenzia per la cybersicurezza: "E' in corso un massiccio attacco
hacker"
I tecnici dell'Agenzia hanno già censito "decine di sistemi
nazionali verosimilmente compromessi e allertato numerosi soggetti i cui
sistemi sono esposti ma non ancora compromessi""”.
Come al solito, siccome in tante redazioni linkare le fonti è considerato un abominio, non viene riportata l’indicazione più importante, ossia l’informazione tecnica del CSIRT. È qui. E dice una cosa che Rainews ha tralasciato di mettere in evidenza: la falla di VMware ESXi sfruttata per l’attacco è stata corretta dal vendor due anni fa.
No, dico, due anni fa. L’avviso del CSIRT lo dice chiaramente: “vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021”.
Parliamoci chiaro: se non patchi un sistema da due anni e per di più lo esponi direttamente a Internet, prendi una canna da pesca e smetti di fare danni, perlamordiddio.
E per favore piantiamola con i titoli sensazionalisti: il titolo corretto, qui, non è “È in corso un massiccio attacco hacker” ma “Imbecilli non aggiornano da 2 anni computer esposti a Internet, si beccano quello che si meritano”.
Gli anglofoni hanno un modo di dire perfettamente azzeccato per queste occasioni: FAFO. Fuck around, find out. Ossia, grosso modo, “Fai una cretinata, scoprine le conseguenze”.
---
Se vi interessano i dettagli tecnici, BleepingComputer ha pubblicato un ottimo
articolo
in proposito; Censys ha un
elenco dei server colpiti; e qui ci sono istruzioni per proteggere i
server e per tentare il recupero dei file cifrati dal ransomware.
Look at the world! look how many OLD ESXi servers are exposed :D https://t.co/z2ykKB3sGB pic.twitter.com/Jeqr9veyRr
— mRr3b00t (@UK_Daniel_Card) February 5, 2023
Secondo Censys, in Italia i server colpiti (non quelli vulnerabili, ma quelli che sono già stati infettati) sono almeno una ventina; in Svizzera sono più o meno altrettanti.
---
Ho parlato della vicenda a Teleticino (video) e a Radio Radicale (registrazione audio).
La nota del governo italiano è molto netta (evidenziazioni mie): “L’aggressione informatica, emersa già dalla serata del 3 febbraio e culminata ieri in modo così diffuso, era stata individuata da ACN [Agenzia per la Cybersicurezza Nazionale] come ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia aveva allertato tutti i soggetti sensibili affinché adottassero le necessarie misure di protezione. Taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze. Per fare una analogia con l’ambito sanitario, è accaduto come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a una opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute per chi a quella prevenzione non abbia ottemperato".”
Non avrei saputo dirlo meglio.
---
2023/02/09 22:20. Anche la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha pubblicato uno script e delle istruzioni per il recupero dei dati in caso di attacco con questo ransomware.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.