Massiccio attacco hacker in atto in Italia: cosa sappiamo e cosa rischiamo

Un massiccio attacco hacker sta colpendo il nostro Paese. Ma l'Italia non è l'unico bersaglio. Cosa sta succedendo e cosa fare

Un massiccio attacco hacker sta colpendo il nostro Paese. Ma l’Italia non è l’unico bersaglio: diversi altri Paesi stanno riscontrando enormi falle nella rete di protezione della propria sicurezza nazionale, che potrebbero essere in grado di comprometterla severamente.

I primi ad accorgersene sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in Francia. Successivamente, l’ondata di attacchi si è spostata su altri Paesi, tra cui l’Italia. Attualmente sono qualche migliaio i server compromessi in tutto il mondo: oltre all’Italia, la Francia, al momento la più colpita, la Finlandia, gli Stati Uniti e il Canada.

Attacco hacker in Italia: cosa sappiamo

Il Computer Security Incident Response Team Italia (Csirt-IT) dell’Agenzia per la Cybersicurezza Nazionale, Acn, ha rilevato nella giornata di domenica 5 febbraio un massiccio attacco tramite un ransomware già in circolazione, che prende di mira i server VMware ESXi. Un ransomware è un tipo di malware, cioè di virus, che riesce a limitare o bloccare l’accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere questa stessa limitazione.

L’agenzia per la Cybersicurezza ricorda come “la vulnerabilità sfruttata dagli attaccanti per distribuire il ransomware è già stata corretta nel passato dal produttore, ma non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta”. Sfruttando la vulnerabilità dei sistemi operativi, gli hacker possono portare avanti attacchi ransomware che “cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione”.

Con i feed a disposizione, i tecnici dell’Acn sono già però riusciti a censire “diverse decine di sistemi nazionali verosimilmente compromessi” e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, spiegano, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati ad aggiornare immediatamente i loro sistemi.

Cosa si sa di Tim e Acea

L’attacco è arrivato in una settimana molto particolare per l’Italia, segnata, a partire dalla mattinata di oggi, da problemi per i clienti Tim, per via di un down che ha toccato quasi tutto lo Stivale, e che però, ha spiegato l’azienda, sarebbe stato causato da un guasto tecnico di livello elevato e dunque nulla c’entrerebbe con l’attacco hacker. Giovedì scorso, poi, anche il sito web di Acea, l’azienda romana dell’energia, del gas e dell’acqua, sarebbe stato violato da un attacco ransomware, secondo quanto riportato dalla stessa società.

Intanto, sulla vicenda di quest’ultimo attacco hacker è intervenuto il governo con una nota di Palazzo Chigi. Meloni e i suoi stanno seguendo gli sviluppi e alle 9 di lunedì il sottosegretario Alfredo Mantovano, autorità delegata per la cybersicurezza, incontrerà a Palazzo Chigi il direttore di ACN, Roberto Baldoni, e la direttrice del DIS-Dipartimento informazione e sicurezza, Elisabetta Belloni, per fare un primo bilancio dei danni provocati dagli attacchi e per confermare la promozione della adeguata strategia di protezione, peraltro da tempo già in atto.

Attacco hacker, c’entra la Russia?

Al momento tutte le piste sono aperte. Difficile dire se possa c’entrare o meno la Russia, anche se numerosi precedenti ci sono e, non a caso, i ransomware sono stati diffusi in primis proprio lì (anche Eni era stata presa di mira da attacchi informatici russi).

C’è da dire, ad esempio, che proprio alcuni giorni fa diversi ospedali europei sono stati presi di mira dagli hacker filo-russi di Killnet, secondo quanto hanno riportato le autorità dei Paesi Bassi. Il Centro nazionale olandese per la sicurezza informatica (NCSC) ha affermato che uno degli ospedali del Paese – l’UMCG di Groningen – ha subito un attacco informatico durante lo scorso weekend, sottolineando che anche altri Stati europei che sostengono l’Ucraina sono stati presi di mira. Killnet aveva proprio annunciato attacchi DDoS, tra le altre cose, agli ospedali nei Paesi che aiutano l’Ucraina.

La scorsa settimana i siti web degli aeroporti tedeschi, delle pubbliche amministrazioni e del settore finanziario hanno subito attacchi attribuiti al gruppo Killnet, ha affermato giovedì scorso la Federal Cybersecurity Agency (BSI). Anche il sito web della polizia regionale del Baden-Württemberg è stato preso di mira. Il gruppo ha riferito che gli attacchi erano una rappresaglia contro Berlino, che aveva appena approvava il dispiegamento di carri armati Leopard 2 in Ucraina.

Killnet è un gruppo di attivisti informatici che supporta la Russia. Probabilmente formatosi nel marzo 2022, ha acquisito notorietà durante i primi mesi della guerra in Ucraina, dando inizio a una campagna di attacchi DDoS e disinformazione contro i nemici della Russia. Il gruppo di hacker afferma che i suoi obiettivi principali sono i sostenitori dell’Ucraina, compresi i Paesi della NATO e i loro alleati.

In passato, le agenzie di intelligence occidentali avevano emesso avvertimenti sugli attacchi Killnet contro infrastrutture critiche. Anche diversi ospedali nel Regno Unito, in Germania, Polonia, Scandinavia e Stati Uniti hanno affermato di essere stati presi di mira.

Attacchi hacker russi in Italia: chi è più colpito

La Germania è stata presa bersagliata più volte negli ultimi anni da attacchi informatici rivendicati dalla Russia, tra cui uno nel 2015 che ha coinvolto il Bundestag, la Camera bassa del Parlamento tedesco, e l’ufficio dell’ex cancelliere Angela Merkel.

Sempre Killnet è stato collegato a un attacco DDoS al sito web del Parlamento europeo a novembre scorso, poco dopo l’approvazione di una risoluzione che definiva la Russia uno “stato sponsor del terrorismo”.

Attacco hacker a PayPal: a rischio i soldi degli utenti?

Di settimana scorsa anche la notizia di un incredibile attacco hacker a PayPal avvenuto a dicembre scorso. Il colosso dei pagamenti digitale ha confermato che gli account di ben 35mila utenti sono stati compromessi a causa di una violazione della sicurezza.

Una parte non autorizzata ha visualizzato e potenzialmente ottenuto alcune informazioni personali dei clienti PayPal tra il 6 dicembre 2022 e l’8 dicembre 2022. Non appena PayPal ha identificato la violazione, ha immediatamente adottato misure per proteggere i clienti interessati e ha informato le forze dell’ordine, si legge nella nota ufficiale.

La violazione dei dati sarebbe stata causata dal cosiddetto credential stuffing, il riempimento delle credenziali, che si verifica quando gli aggressori utilizzano un elenco di credenziali di accesso rubate per ottenere l’accesso a più account. Questo attacco ha spesso successo perché molte persone utilizzano la stessa password per accedere a vari account online. A seguito della violazione, PayPal ha reimpostato le password per gli account interessati.

Ecco perché, per proteggerci davvero online, per ogni account online dovremmo scegliere password complesse e univoche, e dovremmo aggiornale regolarmente. Anche modificare spesso le domande di sicurezza e abilitare la verifica in due passaggi sono due ottimi antidoti contro le truffe.