ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex.
Lo scorso 4 febbraio il CERT francese ha lanciato l’allarme di un attacco generalizzato ai server basato su una vulnerabilità per la quale la società VMware aveva già rilasciato la patch lo scorso mese di febbraio 2021. Il giorno successivo la nostra ACN ha ripreso la notizia e diramato un comunicato.
L’attacco hacker
Negli scorsi giorni è venuto all’attenzione dei media un attacco globale operato nei confronti dei server di tutto il mondo che, sfruttando una vulnerabilità già nota ha installato un ransomware all’interno dei sistemi, rendendoli inaccessibili al legittimo proprietario, a meno di non voler pagare un riscatto per ottenere la chiave e poter accedere nuovamente ai propri dati.
Si tratta di un attacco molto comune che colpisce ogni giorno centinaia di realtà pubbliche e private.
Solitamente il canale di ingresso preferenziale per questo tipo di attacchi è l’invito a cliccare su un determinato link o a scaricare un certo file presente nell’e-mail. A volte la mail viene mascherata in modo da sembrare inviata da un nostro contatto o da una persona che conosciamo.
Tale tecnica, nota come phishing, risulta efficace perché riproduce graficamente realtà note al ricevente (come siti di banche o poste), invita a prendere decisioni in fretta e più in generale sfrutta la scarsa attenzione e la mancanza di consapevolezza degli utenti.
Questa volta la modalità prescelta è stata una vulnerabilità già nota, quindi gli ingredienti che hanno consentito l’attacco su larga scala sono gli stessi, ma non con riferimento ad un’attività degli utenti ma ad una omissione degli amministratori di sistema e di coloro i quali gestiscono sistemi complessi, i quali avrebbero dovuto preoccuparsi di aggiornare tempestivamente i sistemi.
La provenienza dell’attacco
Si è trattato di un attacco su larga scala che ha coinvolto prima di tutto la Francia, per poi espandersi in altri paesi europei e diffondersi anche in Italia. Si è diffuso anche in paesi extra UE, come il Canada e gli Stati Uniti.
Ad ogni modo, dai primi accertamenti non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile, anche perché è sin troppo facile mascherare la provenienza degli attacchi.
Al centro dell’attacco ci sono alcuni dei server maggiormente diffusi, VMWare ESXi, che contengono alcune vulnerabilità già conosciute. Secondo i primi dati sono state infatti coinvolte e compromesse almeno alcune migliaia di server in tutto il mondo.
La richiesta di riscatto.
Al centro del gigantesco attacco hacker portato avanti in questi giorni ci sarebbero invece dei criminali informatici, che mettono a rischio l’accesso a siti e piattaforme web per poi richiedere un ricatto in denaro, per poterli riattivare.
I criminali informatici chiedono quindi di procedere entro tre giorni al pagamento di un riscatto calcolato in bitcoin, ovvero in moneta virtuale, per un valore di circa 40.000 euro.
La raccomandazione è sempre quella di non pagare il riscatto. In particolare perché non vi è garanzia che pagando la somma richiesta i dati possano essere integralmente decriptati. Non si può escludere che i criminali informatici possano “liberare” solo una parte dei dati e che non li abbiano già esfiltrati (tutti o in parte) per poi lucrarci ulteriormente rivendendoli nel dark web. L’invito è anzi quello di denunciare i fatti alla polizia postale, anche per fornire elementi utili alle Autorità per comprendere meglio questi fenomeni.
Strategie da adottare e adempimenti privacy.
L’Agenzia per la Cybersicurezza spiega che per proteggersi è necessario procedere con l’aggiornamento all’ultima patch, come aveva spiegato anche tempo addietro la stessa VMware. Il problema di questi server è infatti già noto, e per rimediare esiste un particolare aggiornamento che risolve le lacune alle difese.
Le aziende che utilizzano questi server sono quindi invitate ad aggiornare i sistemi, in modo da impedire il verificarsi dell’attacco hacker di questi giorni. Il consiglio dell’Agenzia di cybersicurezza è quello di procedere con l’aggiornamento il prima possibile, per non rischiare di perdere l’accesso alle piattaforme web.
Per quanto concerne gli obblighi di notifica sarà necessario, ai sensi dell’art. 33 del Regolamento europeo n. 679/2016 nel caso in cui la violazione abbia coinvolto dati personali, notificare la violazione al Garante privacy a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il Titolare del trattamento ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Come ulteriore adempimento vi è anche la comunicazione agli interessati, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ai sensi dell’art. 34 gdpr.
Le contromisure da adottare variano quindi a seconda del tipo di dati: se sono dati personali generici e/o particolari e dalla loro quantità. Occorrerà coinvolgere tutte le figure che si occupano di privacy ed il DPO, se nominato, per valutare la strategia più opportuna ed ottemperare agli adempimenti sopra indicati.
Conclusioni
Quanto accaduto ripropone il tema della necessità di aumentare la consapevolezza dei rischi cyber nel nostro paese. Un grosso passo in avanti è stato compiuto con la creazione della Agenzia per la Cybersicurezza nazionale e del perimetro cibernetico.
Resta ancora molto da fare, se si pensa che per evitare il blocco dei sistemi con tutte le conseguenze del caso, sarebbe stato sufficiente installare la patch, come da istruzioni del produttore. Si tratta di un’operazione non priva di disagi sia in termini economici che di tempo sottratto all’operatività del sistema, ma in un’ottica costi / benefici, come insegna la vicenda in argomento, le conseguenze di un atteggiamento disattento o non consapevole dei rischi può esporre a gravi conseguenze.
Terreno fertile di questo attacco sono state le macchine/software direttamente poste su Internet senza un firewall a protezione e quelle che non hanno avuto l’aggiornamento.
Occorrerà quindi mettere in sicurezza il sistema, proteggendo con un firewall l’accesso alla macchina, e poi aggiornare immediatamente i sistemi.
Fondamentale in questi casi è anche disporre di un programma di disaster recovery che possa fare affidamento su copie di backup recenti che consentono una rimessa in pristino dei sistemi per consentire di riprendere le attività quanto più rapidamente possibile.