Ultimo aggiornamento: 2023/02/09 22:20.
Scrive
Rainews:
“Agenzia per la cybersicurezza: “E’ in corso un massiccio attacco
hacker”
I tecnici dell’Agenzia hanno già censito “decine di sistemi
nazionali verosimilmente compromessi e allertato numerosi soggetti i cui
sistemi sono esposti ma non ancora compromessi”””.
Come al solito, siccome in tante redazioni linkare le fonti è considerato un
abominio, non viene riportata l’indicazione più importante, ossia
l’informazione tecnica del CSIRT. È
qui. E dice una cosa che Rainews ha tralasciato di mettere in evidenza:
la falla di VMware ESXi sfruttata per l’attacco è stata corretta dal vendor
due anni fa.
No, dico, due anni fa. L’avviso del CSIRT lo dice chiaramente: “vulnerabilità
CVE-2021–21974
– già sanata dal vendor nel febbraio 2021”.
Parliamoci chiaro: se non patchi un sistema da due anni e per di più lo esponi
direttamente a Internet, prendi una canna da pesca e smetti di fare danni,
perlamordiddio.
E per favore piantiamola con i titoli sensazionalisti: il titolo corretto,
qui, non è “È in corso un massiccio attacco hacker” ma
“Imbecilli non aggiornano da 2 anni computer esposti a Internet, si beccano
quello che si meritano”.
Gli anglofoni hanno un modo di dire perfettamente azzeccato per queste
occasioni: FAFO. Fuck around, find out. Ossia, grosso modo,
“Fai una cretinata, scoprine le conseguenze”.
—
Se vi interessano i dettagli tecnici, BleepingComputer ha pubblicato un ottimo
articolo
in proposito; Censys ha un
elenco dei server colpiti; e qui ci sono istruzioni per proteggere i
server e per tentare il recupero dei file cifrati dal ransomware.
Look at the world! look how many OLD ESXi servers are exposed 😀
https://t.co/z2ykKB3sGB
pic.twitter.com/Jeqr9veyRr— mRr3b00t (@UK_Daniel_Card)
February 5, 2023
Secondo Censys, in Italia i server colpiti (non quelli vulnerabili, ma quelli
che sono già stati infettati) sono almeno una
ventina; in Svizzera sono più o meno altrettanti.
—
Ho parlato della vicenda a Teleticino (video) e a Radio Radicale (registrazione audio).
La nota del governo italiano è molto netta (evidenziazioni mie): “L’aggressione informatica, emersa già dalla serata del 3 febbraio e
culminata ieri in modo così diffuso, era stata individuata da ACN [Agenzia per la Cybersicurezza Nazionale] come
ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia
aveva allertato tutti i soggetti sensibili affinché adottassero le
necessarie misure di protezione. Taluni dei destinatari dell’avviso
hanno tenuto in debita considerazione l’avvertimento, altri no e
purtroppo oggi ne pagano le conseguenze. Per fare una analogia con l’ambito sanitario, è accaduto come se a
febbraio 2021 un virus particolarmente aggressivo avesse iniziato a
circolare, le autorità sanitarie avessero sollecitato le persone fragili
a una opportuna prevenzione, e a distanza di tempo siano emersi i danni
alla salute per chi a quella prevenzione non abbia ottemperato”.”
Non avrei saputo dirlo meglio.
—
2023/02/09 22:20. Anche la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha pubblicato uno script e delle istruzioni per il recupero dei dati in caso di attacco con questo ransomware.