Nella giornata di domenica 5 febbraio si è verificato un importante attacco hacker in molti paesi occidentali, Italia inclusa.
Il primo sintomo di questa intrusione è stato il malfunzionamento diffuso della rete internet Tim, sia mobile che soprattutto fissa.
Si tratterebbe di un attacco ransomware, che sfrutta file infetti e vulnerabilità già note per bloccare e sequestrare i server su cui sono depositati i dati di milioni di Italiani. Diversi sistemi internazionali sarebbero rimasti compromessi, altri invece sarebbero vulnerabili ma non ancora colpiti direttamente. Il governo sta preparando una risposta e ci sarà oggi un vertice a Palazzo Chigi per costatare i danni e affrontare le conseguenze.
Hacker, cosa ha attaccato i server italiani
Nella tarda mattinata di domenica 5 febbraio molti utenti delle reti internet Tim iniziano a segnalare problemi di connessione. Inizialmente l’azienda dichiara che si tratta di un guasto a livello internazionale, ma verso sera inizia ad emergere la notizia di un attacco hacker molto esteso, in tutti i paesi occidentali.
Secondo le prime notizie, i criminali informatici avrebbero sfruttato una particolare vulnerabilità, nota da due anni ma spesso non riparata, di un particolare tipo di server, i VMware ESXi, tramite un ransomware. Si tratta di programmi che criptano i dati del computer in cui si trovato, in modo da impedire l’accesso agli stessi da parte dei proprietari del PC. Ad avere la chiave di decrittazione sono gli hacker, che chiedono un riscatto per rilasciare i file presi in ostaggio.
Il modo in cui questi file entrano nei computer e nei server che infettano è spesso un banale trojan, un cavallo di troia. Si tratta di un file apparentemente innocuo che, una volta aperto, installa il programma nel computer. Vengono spesso diffusi tramite mail fasulle, che sembrano provenire da banche o istituzioni. Il riscatto spesso è di poche centinaia o migliaia di euro in bitcoin, soprattutto se le vittime sono privati. Ma nel caso vengano colpite grosse istituzioni, a cifra può salire anche di molto.
La risposta del governo e i server colpiti
L’agenzia nazionale per la sicurezza informatica ACN ha immediatamente avvertito le autorità e il governo, nel momento in cui l’attacco è stato rilevato. Secondo i primi rapporti, qualche migliaio di server nel nostro paese sarebbe compromesso. Molti altri sono vulnerabili ma non sono stati attaccati, e l’agenzia invita i proprietari ad aggiornarli. Ad essere colpite sono state soprattutto le aziende e non i privati.
Il governo ha programmato per la mattinata di oggi lunedì 6 febbraio un incontro a Palazzo Chigi tra il sottosegretario Alfredo Mantovano, con delega per la cybersicurezza, il direttore di ACN, Roberto Baldoni, e la direttrice del DIS (Dipartimento informazione e sicurezza), Elisabetta Belloni. Il vertice si pone l’obiettivo di valutare i danni creati dall’attacco e capire come reagire alle situazioni più delicate, evitando che eventi del genere si verifichino in futuro. Proprio ad inizio anno il governo aveva sottolineato l’importanza di tenere aggiornati i sistemi di sicurezza informatici, in una circolare diffusa anche da ACN.
L’Italia non è stato ‘unico Paese colpito da questo attacco. Praticamente ogni nazione occidentale ha rilevato problemi simili a quelli visti nel nostro paese, dalla Francia, la prima a dare l’allarme, alla Germania al nord Europa fino agli Stati Uniti. Per il momento non è ancora stato individuato il colpevole di questa azione, e nessuna grande associazione di Hacker ha ancora rivendicato gli attacchi.
