PALAZZO CHIGI-ACN-DIS

Attacco cyber, il Governo: “Non colpiti i settori critici”

Dietro l’operazione ci sarebbe la gang Nevada Ransomware. In arrivo un Dpcm per rafforzare la collaborazione tra le Regioni e l’Agenzia per la cybersicurezza nazionale sulle attività di prevenzione. Il presidente del Clusit: “C’è un problema di competenze, servono investimenti”

Pubblicato il 06 Feb 2023

placeholder

Non è stata intaccata la sicurezza nazionale. E’ questa la conclusione a cui è arrivato il vertice tenutosi questa mattina tra tra il sottosegretario alla Presidenza del Consiglio Alfredo Mantovano, il dg di Acn Roberto Baldoni e la direttrice del Dis-Dipartimento informazione e sicurezza, Elisabetta Belloni,  in merito all’attacco all’attacco hacker verificatosi su scala mondiale, e che ha interessato il nostro Paese.

“Pur nella gravità dell’accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita – afferma Palazzo Chigi in una nota nota, puntualizzando che “nel corso delle prime attività ricognitive compiute da Acn, unitamene assieme alla Polizia Postale, non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un riscatto”.

Il lavoro di Acn e Polizia postale

Il lavoro che Acn e Polizia postale stanno svolgendo in queste ore è anche quello di identificare tutti i soggetti potenzialmente vulnerabili, in modo da circoscrivere gli effetti negativi che potrebbero derivare non solo per i loro sistemi informatici, ma pure per la popolazione (si pensi alle ricadute relative al blocco del sistema di una ASL).

WEBINAR
4 Aprile 2024 - 12:00
AI Generativa e Data Protection: scopri come implementare strategie aziendali efficaci
Metaverso
Privacy/Compliance

Dpcm in vista

Il Governo, dando seguito a quanto previsto dal DL n. 82/2021, adotterà tempestivamente un Dpcm per raccordare il fondamentale lavoro di prevenzione delle Regioni con Acn. Nel contempo la stessa Agenzia istituzionalizzerà un tavolo di interlocuzione periodica con tutte le strutture pubbliche e private che erogano servizi critici per la Nazione, a cominciare dai Ministeri e dagli istituti di credito e assicurativi.

L’attacco ransomware

Ieri il Computer Security Incident Response Team Italia (Csirt-IT) dell’Agenzia per la Cybersicurezza Nazionale (Acn) ha rilevato un massiccio attacco tramite un ransomware già in circolazione che prende di mira i server VMware ESXi.

La vulnerabilità sfruttata dagli attaccanti per distribuire il ransomware è già stata corretta nel passato dal produttore, ma non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta.

I server presi di mira, se privi delle patch, cioè delle “correzioni” adeguate, possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend.

I primi ad accorgersene sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in Francia. Successivamente l’ondata di attacchi si è sposta su altri paesi tra cui l’Italia.

Chi c’è dietro l’attacco?

E’ Nevada Ransomware la cybergang che con ogni probabilità è celata dietro gli attacchi, secondo Swascan (Gruppo Tinexta). Questa realtà, manifestatasi a dicembre 2022 con un post di lancio della propria attività cybercriminale e con un programma di reclutamento estremamente incentivante, riconosce infatti ai propri affiliati tra l’85% e il 90% dei proventi delle azioni messe a segno contro aziende e istituzioni colpite, a differenza dello standard del mercato delle gang che assicura tra il 70% e l’80% dei ricavati.

Altra particolarità è che, a differenza delle gang tradizionali che non attaccano i Paesi nell’area dell’ex Unione Sovietica, Nevada Ransomware esclude dal proprio raggio di azione anche l’Albania, l’Ungheria, il Vietnam, la Malesia, la Tailandia, la Turchia e l’Iran.

”La modalità con cui apparentemente sono stati condotti sia i tentativi di attacco sia, in qualche caso, gli attacchi riusciti- lo sfruttamento di una vulnerabilità non risolta da aggiornamenti di sicurezza unitamente all’esposizione su internet di sistemi – corrisponde al classico modus operandi del Criminal hacking. Scansioni massive su base mondiale con l’obiettivo di identificare una opportunità di accesso illegale. La visibilità garantita dalle conseguenze di questo attacco, però, sta avendo anche un secondo probabile risvolto per la gang Nevada – spiega il Ceo di Swascan (Gruppo Tinexta), Pierguido Iezzi -. Di fatto potrebbe essersi trasformata parallelamente anche in una poderosa campagna di marketing finalizzata al reclutamento di nuovi affiliati: aumenta il numero di affiliati, maggiore sarà il numero di attacchi e di conseguenza il numero di riscatti e i profitti ricavati da questi”.

Server compromessi in tutto il mondo

Sono qualche migliaio i server nel mirino in tutto il mondo, dai paesi europei come Francia – paese più colpito – Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti.

In Italia sono decine le realtà che hanno riscontrato l’attività malevola nei loro confronti ma secondo gli analisti sono destinate ad aumentare.

Lo sfruttamento della vulnerabilità consente in una fase successiva di portare attacchi ransomware che, come è noto, cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione.

L’autorità nazionale per la sicurezza informatica, Acn, ribadisce che è prioritario per chiunque chiudere le falle individuate e sviluppare un’adeguata strategia di protezione.

Per i tecnici dell’Acn, infatti, “siamo stati in grado di censire diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.

La vulnerabilità individuata dalle recenti analisi come CVE-2021–21974 (già sanata dal vendor nel febbraio 2021), riguarda i sistemi esposti su internet che offrono servizi di virtualizzazione basati sul prodotto VMWare ESXi, e ha un impatto elevato, stimato dalla comunità tecnica come “rischio alto/arancione” (70,25/100).

 Il bollettino di Acn

 E tuttavia non si esclude che anche altre vulnerabilità possono essere sfruttate da attori malevoli.

A questo riguardo, l’Agenzia per la Cybersicurezza Nazionale, attraverso lo Csirt Italia, ha pubblicato nella giornata di ieri uno specifico bollettino sul portale pubblico https://csirt.gov.it, che include anche le procedure per risolvere la vulnerabilità, ai quali i responsabili tecnici dei servizi IT pubblici e privati sono invitati a fare riferimento.

Cos’è il ransomware

Il ransomware è un malware, cioè un “software malevolo” che cripta i file presenti sul computer della vittima, rendendoli illeggibili e non più utilizzabili senza una chiave di decifrazione che viene data dagli hacker solo dietro pagamento di un riscatto. Di solito per i privati si tratta di cifre non impossibili, tra le decine e le centinaia di euro, che le vittime di norma pagano pur di non perdere dati; nel caso di grandi organizzazioni, aziende o enti pubblici, le cifre invece possono essere molto alte.I ransomware sono, nella maggioranza dei casi, dei trojan diffusi tramite siti web malevoli o compromessi, ovvero per mezzo della posta elettronica. In genere si presentano come allegati apparentemente innocui (come, ad esempio, file Pdf) provenienti da mittenti legittimi (soggetti istituzionali o privati).

La loro verosimiglianza induce gli utenti ad aprire l’allegato, il quale riporta come oggetto diciture che richiamano fatture, bollette, ingiunzioni di pagamento ed altri oggetti simili: una volta aperto il file, il ransomware entra nel pc o nel telefono della vittima e lo cripta.

Il down di Tim e l’attacco ad Acea

L’attacco ransomware è avvenuto in concomitanza con il down di Tim di ieri e a qualche giorno di distanza a quello sferrato dal gruppo ransomware Black Basta contro Acea che ha ripristinato le funzionalità.

“ I siti internet del Gruppo e delle piattaforme online per la gestione degli aspetti commerciali delle forniture di acqua, elettricità e gas risultano operativi, così come per i clienti il servizio di contact center delle società del Gruppo, tra cui Acea Ato 2, Areti e Acea Energia. Allo stato attuale, le analisi statiche e dinamiche della minaccia non hanno evidenziato compromissione dei dati personali”, spiega una nota aziendale.

L’azienda ribadisce che il disservizio informatico generato dall’attacco cyber non ha interessato i servizi essenziali di distribuzione elettrica ed idrica che sono stati sempre regolarmente garantiti.

Problemi ieri anche per Tim che ha riprisinato il servizio nel pomeriggio. “Con riferimento al disservizio che si è verificato oggi, Tim comunica che il problema è rientrato e il servizio si è stabilizzato alle ore 16:55. Dalle verifiche effettuate, il problema ha riguardato il flusso dati su rete internazionale che ha generato un impatto anche in Italia”, diceva una nota del Gruppo.

Il Copasir in campo

Il Copasir segue “con grande attenzione” l’attacco hacker di queste ultime ore e “ho chiesto al professor Baldoni (direttore generale di Acn ndr) di far pervenire al Comitato una relazione su quanto accaduto”. Lo ha annunciato all’Adnkronos il presidente del Copasir e deputato Pd Lorenzo Guerini.

“Noi seguiamo con grande attenzione l’attacco di queste ultime ore, ancora parzialmente in corso, che ha colpito l’Italia ed altri Paesi – sottolinea – e che, dalle prime valutazioni, ha a che fare con alcune vulnerabilità di un particolare tipo di sistema rispetto alle quali c’è ancora una volta l’esigenza di richiamare tutti gli attori, pubblici e privati, ad alzare le barriere, lavorando sugli aggiornamenti dei sistemi e seguendo le indicazioni che l’Agenzia per la cybersicurezza nazionale ha trasmesso nei mesi scorsi e continua a trasmettere”. “La resilienza del sistema dipende da tutti, dal singolo fino al sistema nel suo complesso e le autorità di controllo, e c’è l’esigenza che tutti lavorino in quella direzione per prevenire attacchi che possono avere effetti complicati”, osserva Guerini.

“A nome del Copasir ho chiesto al professor Baldoni (direttore generale di Acn ndr) di far pervenire al Comitato una relazione su quanto accaduto e il Comitato valuterà come ulteriormente approfondire”, precisa Guerini. “Sul tema il nostro Comitato, come quello nella scorsa legislatura, ha mostrato sempre grande attenzione. Abbiamo audito Baldoni alcune settimane fa e continuiamo a lavorare in questa direzione e a portare il nostro contributo affinché vi sia una crescita complessiva di consapevolezza del Paese sull’esigenza di mettere in campo tutte le attività di sicurezza e di resilienza necessarie – sottolinea Guerini – Attendiamo le risultanze della relazione, poi valuteremo eventualmente i passaggi successivi”. “Il nostro sistema ha mostrato ancora una volta la capacità di essere tempestivo negli interventi ma questo non deve far abbassare la guardia”, conclude il presidente del Copasir ricordando che la “resilienza complessiva dipende dal sistema che si mette in campo, ma anche dalle azioni che ogni singolo soggetto è chiamato a fare”.

I commenti degli esperti

CLUSIT. “Gli attacchi ransomware sono di gran lunga i più frequenti e diffusi negli ultimi tempi, ed è facile prevedere che lo saranno ancora di più visto che si tratta di attacchi relativamente facili, che consentono di colpire contemporaneamente un gran numero di obiettivi e che sono difficili da contenere in assenza di contromisure adeguate”. Gabriele Faggioli, presidente Clusit, l’Associazione italiana per la sicurezza informatica, fa il punto con l’Agi sulla mega offensiva hacker.

“Che, come ha fatto sapere Palazzo Chigi, in Italia non sia stata colpita alcuna istituzione o azienda primaria è ecisamente una buona notizia – premette Faggioli – ed è quello che ci auguravamo, visto che la casa madre del software aveva già rilasciato le patch di aggiornamento due anni fa e sarebbe stato grave farsi cogliere impreparati. Quanto alla matrice dell’attacco, noi naturalmente non abbiamo elementi, ma per esperienza sappiamo che nel caso di attacchi orientati non su un singolo Paese o su una determinata azienda ma su una pluralità di obiettivi di solito la responsabilità è di gruppi criminali e non di entità statali. Che è poi quello che ci ha confermato il governo”.

Per il presidente Clusit, “è sbagliato pensare che sia un problema solo nostro, diciamo che l’Italia subisce più attacchi gravi di altri Paesi del G7 ma che è comunque in buona compagnia. La verità è che scontiamo anni di ritardi da un lato nella formazione digitale di base e dall’altro nella spesa in cybersicurezza, largamente inferiore come percentuale del prodotto interno loro rispetto a molti altri Paesi. Il fatto che molte aziende restino vittime di attacco di questo tipo si deve un po’ a sciatteria e disorganizzazione e un po’ a criticità tecnologiche. Non credo che qualcuno preferisca pagare un eventuale riscatto presumendo che costi meno che investire, credo che alla fine pesi di più l’insufficiente conoscenza del fenomeno e la inadeguata consapevolezza del livello di rischio. Ma attenzione, oltre a questo conta pure l’impossibilità oggettiva di investire in risorse umane, ancora insufficienti, e in tecnologia, molto costosa. Per molte imprese medie e piccole è praticamente impossibile farlo”.

L’alternativa? “Fare economia di scala, mettere a fattor comune gli investimenti. Il cloud computing va in questo senso: certo le risorse vanno gestite in modo equilibrato e sicuro ma non e’ che io per spostarmi mi faccio un treno personale, uso i treni di Italo e di Trenitalia. In questo campo andare in ordine sparso e’ una scelta perdente, che si rischia di pagare carissima”.

CHECK POINT SOFTWARE TECHNOLOGIES. “L’attacco informatico all’infrastruttura italiana è ben diverso dagli attacchi che normalmente ci racconta la cronaca quotidiana, con danni e data breach rivolti a organizzazioni private – spiega Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies – Questo attacco ransomware ha un impatto potenziale che potrebbe riversarsi sull’intera cittadinanza, producendo disagi a livello nazionale, o addirittura globale”.

“I possibili disservizi, da cui dipendiamo, e che si sono verificati in queste ore, sono da attribuire proprio a questo enorme attacco ransomware, una minaccia crescente non solo in Italia, ma in tutto il mondo – prosegue l’eserto – Già lo scorso luglio, il nostro threat intelligence, Check Point Research, aveva segnalato un aumento del ransomware del 59%, su base annua e a livello globale. Considerando questa crescita smisurata e l’attacco riportato ieri, è bene ribadire che, in questa era digitale, difendersi e prevenire le minacce informatiche deve essere la priorità numero uno di enti, organizzazioni e utenti privati. Una strategia di cybersecurity che coinvolga tutti, dal singolo cittadino ai vertici governativi è assolutamente vitale”.

TREND MICRO. “Anche nel 2022 l’Italia si è confermata tra i Paesi europei più colpiti da attacchi malware e ransomware, spesso veicolati attraverso lo sfruttamento di vulnerabilità. Casi come questo confermano l’importanza di mantenere la soglia di attenzione sempre molto alta – sottolinea Salvatore Marcis, Technical Director Trend Micro ItaliaÈ prioritario dotarsi di sistemi di protezione adeguati e provvedere costantemente alla manutenzione e all’aggiornamento delle infrastrutture di difesa, per evitare di dover pagare poi pesanti dazi in termini di reputazione, disservizi alla propria clientela e multe per non aver rispettato le normative. Una strategia in questi casi può essere quella di adottare sistemi di virtual patching in grado di proteggere i propri sistemi anche prima del rilascio delle patch ufficiali da parte dei produttori dei sistemi colpiti”.

ESET. “A prima vista questo attacco è simile agli incidenti globali di ransomware del 2017, ma questa volta ha un aspetto peggiore: nel 2017 la vulnerabilità era attiva da poche settimane quando è stata sfruttata da Eternalblue. Questa volta (nei server VMware ESXi) la falla risale a 2 anni fa ed è completamente patchabile. Purtroppo, ciò dimostra che tutte le lezioni del passato non sono servite a molto – evidenzia Fabio Buccigrossi, Country Manager di Eset Italia – Ora si tratta di correre ai ripari. I criminali informatici sono molto rapidi nel prendere di mira le organizzazioni che non stanno al passo. Gli aggiornamenti di sistema su questa scala possono sembrare un compito titanico, nulla però al confronto del potenziale risultato di un attacco malware progettato per sfruttare in modo speciale coloro che hanno ancora una vulnerabilità. Le misure preventive sono spesso la migliore linea d’azione per proteggersi dai tentativi di ransomware effettuati dai cyberattaccanti globali. Misure come il mantenimento delle reti costantemente aggiornate con le ultime patch sono fondamentali per rendere i sistemi sufficientemente sicuri da respingere questi attacchi purtroppo inevitabili. È essenziale che, una volta che le vulnerabilità sono state corrette dai produttori, questi aggiornamenti vengano eseguiti su ogni endpoint per renderli più resistenti”.

BARRACUDA. “I diffusi attacchi ransomware segnalati contro i sistemi VMware ESXi privi di patch in Europa e nel mondo sembrano aver sfruttato una vulnerabilità per la quale era stata resa disponibile una patch nel 2021. Ciò evidenzia quanto sia importante aggiornare i principali sistemi di infrastruttura software il più rapidamente possibile, sebbene non si tratti di un’operazione facile per le organizzazioni – spiega Stefan van der Wal, Consulting Solutions Engineer, Emea, Application Security di Barracuda – Nel caso di questa patch, ad esempio, le aziende devono disattivare temporaneamente parti essenziali della loro infrastruttura IT. Tuttavia, è preferibile affrontare questo tipo di inconveniente piuttosto che essere colpiti da un attacco potenzialmente distruttivo. Fondamentale è proteggere l’infrastruttura virtuale che può rivelarsi un bersaglio interessante per il ransomware, poiché spesso esegue servizi o funzioni business critical. Un attacco riuscito può avere gravi ripercussioni”.

DEEP CYBER. Gerardo Costabile, Ad di DeepCyber (Gruppo Maggioli) e presidente di Iisfa (Associazione Italiana Digital Forensics) ridimensiona l’accaduto. “Vorrei ridimensionare la portata effettiva degli attacchi informatici che stanno interessando in queste ore non solo il nostro Paese, ma il mondo intero  dice infatti –  Al di là dell’eco mediatica, si tratta di incursioni finalizzate alla richiesta di un riscatto. Ma la vulnerabilità, si badi bene, risale al 2021, quindi, parlando in termini informatici a un’era geologica fa ed è un problema, tra l’altro, già risolto dallo stesso produttore del software attraverso il rilascio di un’apposita patch di sicurezza. Secondo le nostre analisi, in questo momento ci sono solo circa 19 server in Italia vulnerabili a questa minaccia, che a mio giudizio andrebbe ridimensionata nella sua effettiva portata”.

FONDAZIONE ITALIA DIGITALE. “I recenti attacchi informatici stanno dimostrando come non sia più rinviabile il potenziamento della cybersicurezza nel nostro Paese”, avverte Francesco Di Costanzo, presidente della Fondazione Italia Digitale, ricordando come sia “importante che l’Italia sia all’avanguardia per la sicurezza informatica, a tutela di tutto il sistema economico e delle imprese di ogni dimensione”. “Più volte abbiamo sottolineato come ogni bando pubblico dovrebbe prevedere una specifica previsione sulla cybersecurity”, conclude.

I commenti della politica

La politica è spaccata nella lettura dell’accaduto, con la maggiornza di centrodestra che difende l’operato del governo e le opposizioni che puntano il dito contro. Secondo Giulia Pastorella, vicepresidente di Azione e capogruppo in commissione Trasporti e Telecomunicazioni alla Camera dei Deputati, la decisione del governo Meloni di cancellare il Ministero dell’Innovazione Tecnologica “affidando le deleghe a diversi sottosegretari” è stata “scelta sia stata povera a livello strategico”.

“Per fortuna che Acn, l’agenzia per la Cybersicurezza nazionale esiste ed è stata ulteriormente potenziata nella Legge di Bilancio anche grazie alle proposte delle opposizioni. E’ però necessario che si promuova, oltre ad un incremento concreto dei percorsi di studio sulla sicurezza informatica, un’efficace cultura di implementazione delle difese informatiche delle nostre aziende che avrebbero potuto per esempio implementare un patch per proteggersi da questo attacco già due anni fa, quando è stato reso disponibile dal produttore. Acn sarà fondamentale ma la mancanza di una regia e di un peso politico potrebbe rallentare questo importante processo per difendere la ricchezza che risiede nei dati delle aziende del nostro Paese”.

Nino Minardo, Presidente della Commissione Difesa della Camera dei Deputati. evidenzia la necessità di accelerare su strategia nazionale

Per il deputato leghista “la risposta dell’Agenzia per la cybersicurezza nazionale (Acn) e della Polizia postale è stata immediata ed efficace ed è importante la volontà del Governo di intensificare le misure di prevenzione. Considerata la crescente attività di pirateria informatica o addirittura di guerra digitale di alcune potenze straniere – aggiunge Minardo – è indispensabile anche coordinare gli sforzi e aumentare la cooperazione nel campo della cybersicurezza nell’Unione Europea e con gli alleati della Nato e con gli altri paesi amici” conclude.

Per il senatore Pd, Enrico Borghi, componente del Copasir, bisogna analizzare anche quanto accaduto in Tim. Due vicende che “non sono interconnesse”, precisa Borghi “ma, da quanto riferisce la stampa, la problematica alla rete Tim passa da un’errata connessione con Sparkle che gestisce cavi delicatissimi”. Riguardo all’attacco hacker, osserva inoltre il membro dem del Copasir, va sottolineato che “c’è un vuoto di normativa circa la possibilità di riscatto – spiega – ossia non c’è un divieto al pagamento di riscatto e questo vuoto nella norma determina un aumento della minaccia”.

 

WHITEPAPER
Cyber minacce e incidenti informatici: attiva la tua resilienza in 10 step
Cybersecurity
Security Risk Management
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

LinkedIn

Twitter

Whatsapp

Facebook

Link