A partire dal 3 Febbraio 2023 un massiccio attacco informatico di tipo Ransomware avrebbe colpito migliaia di server in tutto il mondo: si tratta di un virus informatico che, una volta all’interno di un server, rende inaccessibili i dati, cifrandoli.

Tipicamente i ransomware vengono diffusi con l’obiettivo di chiedere indietro un riscatto ed è quello che sembrerebbe sia successo anche stavolta: si parla di 2 Bitcoin (pari, attualmente, a circa 42.000€) da consegnare entro 3 giorni in cambio della concessione (ipotetica) della chiave di de-cifratura utile per ottenere nuovamente i dati originari e con la minaccia di divulgazione di dati e di aumento del prezzo del riscatto.

Ma come è stato compiuto l’attacco hacker? E com’è la situazione in Italia?

L’ipotesi di un attacco hacker globale

Gli attaccanti avrebbero sfruttato una nota vulnerabilità che colpisce i server VMWare ESXi, in particolare parliamo delle CVE-2021–21974 e CVE-2020-3992 che l’ACN (Agenzia per la Cybersicurezza Nazionale) classifica come vulnerabilità a rischio alto. Quando si fa riferimento a un CVE, si intende in genere una vulnerabilità informatica nota a cui è stato assegnato un numero identificativo (ID) CVE.

Quando vengono scoperte delle vulnerabilità su prodotti software, come nel caso in oggetto, il produttore rilascia le cosiddette patch di sicurezza, quindi, in sostanza, aggiorna il prodotto in modo da renderlo protetto da tali vulnerabilità: in questo caso le patch erano state rilasciate da VMWare già da Febbraio 2021 mentre i codici di exploiting (codici utilizzati per sfruttare la vulnerabilità ed eseguire codice da remoto all’interno dei server) sarebbe disponibile open source da maggio 2021!