Un massiccio attacco hacker sta colpendo il nostro Paese. Ma l’Italia non è l’unico bersaglio: altri Paesi stanno riscontrando enormi falle nella rete di protezione della propria sicurezza nazionale e potrebbero essere in grado di comprometterla severamente. I primi ad accorgersene sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider d’oltralpe. Successivamente l’ondata di attacchi si è spostata in altre zone d’Europa, tra cui la nostra Penisola. Attualmente sono qualche migliaio i server compromessi in tutto il mondo: oltre all’Italia e alla Francia, sono nel mirino anche la Finlandia, gli Stati Uniti e il Canada.
Indice
Attacco hacker in Italia: cosa hanno detto le autorità
Il Computer Security Incident Response Team Italia (Csirt-IT) dell’Agenzia per la Cybersicurezza Nazionale, l’Acn, ha rilevato nella giornata di domenica 5 febbraio un massiccio attacco tramite un ransomware già in circolazione, che prende di mira i server VMware ESXi. Un ransomware è un tipo di malware, cioè di virus informatico, che riesce a limitare o bloccare l’accesso del dispositivo che infetta, spesso richiedendo un riscatto da pagare per rimuovere questa stessa limitazione.
L’agenzia per la Cybersicurezza ricorda come “la vulnerabilità sfruttata dagli attaccanti per distribuire il ransomware è già stata corretta nel passato dal produttore, ma non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta”. Sfruttando la vulnerabilità dei sistemi operativi, gli hacker possono portare avanti attacchi ransomware che “cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione”.
Con i feed a disposizione, i tecnici dell’Acn sono già però riusciti a censire “diverse decine di sistemi nazionali verosimilmente compromessi” e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, spiegano, ne rimangono ancora alcuni per i quali non è stato possibile risalire al soggetto proprietario, che deve immediatamente provvedere all’aggiornamento.
Cosa sappiamo degli attacchi hacker a Tim e Acea
L’attacco è arrivato in una settimana molto particolare per l’Italia, segnata, a partire dalla mattinata di oggi, da problemi per i clienti Tim, per via di un down che ha toccato quasi tutto lo Stivale, e che però, ha spiegato l’azienda, sarebbe stato causato da un guasto tecnico di livello elevato e dunque nulla avrebbe a che fare con l’attacco hacker.
Giovedì scorso, poi, anche il sito web dell’Acea, l’azienda romana dell’energia, del gas e della rete idrica, sarebbe stato violato da un attacco hacker, secondo quanto riportato dalla stessa società.
Intanto, sulla vicenda di quest’ultimo attacco hacker è intervenuto il Governo con una nota di Palazzo Chigi. Giorgia Meloni e i suoi stanno seguendo gli sviluppi e alle 9 di lunedì il sottosegretario Alfredo Mantovano, Autorità delegata per la cybersicurezza, incontrerà a Palazzo Chigi il direttore dell’Acn, Roberto Baldoni, e la direttrice del Dis, il Dipartimento informazione e sicurezza, Elisabetta Belloni, per fare un primo bilancio dei danni provocati dagli attacchi e per confermare la promozione dell’adeguata strategia di protezione, peraltro da tempo già in atto.
Chi sono gli hacker di Killnet e cosa c’entra la Russia
Al momento tutte le piste sono aperte. Difficile dire se possa c’entrare o meno la Russia, anche se numerosi precedenti ci sono e, non a caso, i ransomware sono stati diffusi in primis proprio lì.
C’è da dire, ad esempio, che proprio alcuni giorni fa diversi ospedali europei sono stati presi di mira dagli hacker filo-russi di Killnet, secondo quanto hanno riportato le autorità dei Paesi Bassi. Anche in Italia dopo un attacco ci siamo trovati lo scorso anno con gli ospedali in tilt.
Il Centro nazionale olandese per la sicurezza informatica (Ncsc) ha affermato che uno degli ospedali del Paese – l’Umcg di Groningen – ha subito un attacco informatico durante lo scorso week-end, sottolineando che anche altri Paesi europei che sostengono l’Ucraina sono stati presi di mira. Killnet aveva proprio annunciato attacchi DDoS, tra le altre cose, agli ospedali nei Paesi che aiutano Kiev.
La scorsa settimana in Germania i siti web degli aeroporti, delle pubbliche amministrazioni e del settore finanziario hanno subito attacchi attribuiti al gruppo Killnet, ha affermato giovedì scorso la Federal Cybersecurity Agency (Bsi). Anche il sito web della polizia regionale del Baden-Württemberg è stato preso di mira. Il gruppo ha riferito che gli attacchi erano una rappresaglia contro Berlino, che aveva appena approvava il dispiegamento di carri armati Leopard 2 in Ucraina.
Killnet è un gruppo di attivisti informatici che supporta la Russia. Probabilmente formatosi nel marzo 2022, ha acquisito notorietà durante i primi mesi della guerra in Ucraina, dando inizio a una campagna di attacchi DDoS e disinformazione contro i nemici della Russia. Il gruppo di hacker afferma che i suoi obiettivi principali sono i sostenitori dell’Ucraina, compresi i Paesi della NATO e i loro alleati.
In passato, le agenzie di intelligence occidentali avevano emesso avvertimenti sugli attacchi Killnet contro infrastrutture critiche. Anche diversi ospedali nel Regno Unito, in Germania, Polonia, Scandinavia e Stati Uniti hanno affermato di essere stati presi di mira.
La Germania è stata bersagliata più volte negli ultimi anni da attacchi informatici rivendicati dalla Russia, tra cui uno nel 2015 che ha coinvolto il Bundestag, la Camera bassa del Parlamento tedesco, e l’ufficio dell’ex cancelliere Angela Merkel.
Sempre Killnet è stato collegato a un attacco DDoS al sito web del Parlamento europeo a novembre scorso, poco dopo l’approvazione di una risoluzione che definiva la Russia uno “stato sponsor del terrorismo”.
Attacco hacker a PayPal: a rischio i soldi degli utenti?
È della settimana scorsa anche la notizia di un incredibile attacco hacker contro PayPal avvenuto a dicembre scorso. Il colosso dei pagamenti digitali ha confermato che gli account di ben 35mila utenti sono stati compromessi a causa di una violazione della sicurezza.
Una parte non autorizzata ha visualizzato e potenzialmente ottenuto alcune informazioni personali dei clienti tra il 6 dicembre 2022 e l’8 dicembre 2022. Non appena PayPal ha identificato la violazione, ha immediatamente adottato misure per proteggere i clienti interessati e ha informato le forze dell’ordine, si legge nella nota ufficiale.
La violazione dei dati sarebbe stata causata dal cosiddetto credential stuffing, il riempimento delle credenziali che si verifica quando gli aggressori utilizzano un elenco di credenziali di accesso rubate per ottenere l’accesso a più account. Questo attacco ha spesso successo perché molte persone utilizzano la stessa password per accedere a vari account online. A seguito della violazione, PayPal ha reimpostato le password per gli account interessati.
Ecco perché, per proteggerci davvero online, per ogni account online dovremmo scegliere password complesse e univoche, e dovremmo aggiornale regolarmente. Anche modificare spesso le domande di sicurezza e abilitare la verifica in due passaggi sono due ottimi antidoti contro le truffe.
