È in corso un attacco informativo di grandi proporzioni, uno dei più grandi da anni. A essere colpite sono decine, forse centinaia, di aziende in Francia, Stati Uniti, Germania e altri paesi. In Italia, per il momento, pare che i sistemi colpiti siano solo una ventina, come risulta dalla lista pubblicata dal CENSYS.
Si tratta, in particolare, di un attacco di tipo ransomware: significa che la vittima si trova con i file inaccessibili perché crittografati. In questo caso, il malware prende il nome di ESXiArgs. Molti dei soggetti colpiti hanno già ricevuto una richiesta di riscatto per alcune migliaia di euro. Qualche dettaglio tecnico si può recuperare sul sito dell'Agenzia per la Cybersicurezza Nazionale.
La nota più significativa, comunque, riguarda il fatto che l'attacco sfrutta una falla nota da circa due anni, che era già stata corretta. In altre parole, le aziende hanno avuto quasi due anni per risolvere il problema, ma non l'hanno fatto.
Fortunatamente sono disponibili istruzioni per la decrittazione dei file: non è sicuro che funzionino, ma vale la pena tentare.
La prima notizia è arrivata dal Computer Emergency Response Team francese (CERT-FR), paese dove si è registrato il maggior numero di vittime (via BleepingComputer), che spiega anche come l'attacco prenda di mira i server VMware ESXi senza patch, cioè privi appunto di quella correzione pubblicata a febbraio 2021.
⚠️Alerte CERT-FR⚠️CERTFR-2023-ALE-015 : Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi (03 février 2023). https://t.co/KN6GDUdXcLFebruary 3, 2023
"Secondo le indagini in corso, queste campagne di attacco sembrano sfruttare la vulnerabilità CVE-2021-21974, per la quale è disponibile una patch dal 23 febbraio 2021", ha dichiarato il CERT-FR, che aggiunge "i sistemi attualmente presi di mira sono gli hypervisor ESXi nella versione 6.x e precedente alla 6.7".
Al momento, chi ritiene di poter cadere vittima di questo attacco può difendersi disabilitandoil servizio vulnerabile Service Location Protocol (SLP) sugli hypervisor ESXi che non sono ancora stati aggiornati.
Secondo una ricerca Censys, circa 3.200 server VMware ESXi in tutto il mondo sono stati compromessi dalla campagna ransomware ESXiArgs.
Non è chiaro se oltre al blocco dei dati c'è stato anche un furto di informazioni, né se gli autori dell'attacco siano legati a un governo nazionale - ma secondo i primi rilievi pare che si tratti di un gruppo russo.
La situazione è in evoluzione e sicuramente nelle prossime ore emergeranno altre informazioni. E, si spera, anche un sistema per recuperare l'accesso ai file senza necessariamente pagare il riscatto. Più che consigliabile tenere sotto controllo il sito italiano ufficiale del CSIRT.
Le "vittime" se la sono un po' cercata
Eppure non è un attacco particolarmente sofisticato. Né particolarmente violento. Eppure ha avuto conseguenze pesanti in tutto il mondo, e non è perché sono stati bravi i criminali.
Il problema è che ci sono decine di migliaia di cretini in tutto il mondo che non hanno aggiornato i loro sistemi, quando avrebbe dovuto sapere benissimo che aggiornare è la scelta giusta da fare.
C'è chi non aggiorna per ignoranza, chi per pigrizia, chi per risparmiare. C'è chi lo fa perché magari l'aggiornamento "rompe" un sistema importane, e non ci si vuole prendere la briga di risolvere in altro modo.
Nessuna di queste è una una ragione accettabile, e oggi chi è causa del suo mal dovrebbe piangere sé stesso. E invece, potete scommetterci, ci sarà chi andrà chiedere soldi pubblici per fare fronte "all'emergenza".
Immagine di copertna: 123RF
