Attacco hacker, ecco l’elenco dei server italiani colpiti: cosa sappiamo

L'attacco hacker che ha colpito il mondo, e anche l'Italia, probabilmente non è opera della Russia o di qualche altro Paese nemico. Ecco i server colpiti

AGGIORNAMENTO: In merito alla notizia dell’attacco hacker, Netsons srl precisa che detti attacchi non hanno interessato i propri servizi, in particolare quelli gestiti ed erogati in modo diretto (servizi managed). Gli IP specificati nell'”elenco dei 19 server italiani finiti sotto attacco” riguardano server gestiti autonomamente da clienti (Servizi unmanaged) i quali, dunque, hanno la responsabilità della gestione della sicurezza informatica*.

 

L’attacco hacker che ha colpito il mondo, e anche l’Italia, probabilmente non è opera della Russia o di qualche altro Paese nemico, bensì di un gruppo di criminali informatici che è riuscito a mettere sotto sopra alcuni dei più protetti e inviolabili servizi web nazionali e internazionali.

Un attacco in corso da giorni, ma esploso mediaticamente in Italia solo nella tarda serata del 5 febbraio: ciò che sappiamo è che, dei 1.682 server infiltrati, quasi la metà, pari a 528, erano localizzati in Francia, l’altra metà tra Germania (273) e Stati Uniti (235). Per quanto riguarda noi, l’Italia ha subito l’attacco soltanto a 19 server ed è, fortunatamente, tra i Paesi meno colpiti.

Cosa sappiamo del cyberattacco

L’aggressione informatica, emersa già dalla serata del 3 febbraio, era stata individuata da ACN-Agenzia per la Cybersicurezza Nazionale come risalente addirittura a febbraio 2021, tanto che allora la stessa Agenzia aveva allertato tutti i soggetti sensibili perché adottassero le necessarie misure di protezione.

Sulla vicenda è intervenuto direttamente il governo, che in una nota ufficiale di Palazzo Chigi ha rassicurato che l’attacco non ha causato danni al nostro Paese. “In merito all’attacco hacker verificatosi su scala mondiale, la riunione tenuta stamane a Palazzo Chigi, coordinata dal Sottosegretario con la delega alla Cybersecurity Alfredo Mantovano, ha consentito di capire quanto accaduto, pur gravissimo,  non ha causato danni all’Italia: nel nostro Paese nessuna istituzione dello Stato né alcuna azienda che opera in settori critici per la sicurezza nazionale è stata colpita“.

Se volessimo fare un’analogia, è accaduto, scrive il governo, “come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a una opportuna prevenzione, e a distanza di tempo fossero emersi i danni alla salute per chi a quella prevenzione non avesse ottemperato”.

Rispetto ai livelli di protezione suggeriti già due anni fa, “taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze” scrive Palazzo Chigi, che raccomanda a tutte le realtà coinvolte di intensificare le misure di prevenzione possibili, mettendosi subito in contatto con ACN.

ACN e Polizia Postale stanno indagando su quanto accaduto: dalla prime ricostruzioni non sono state trovate prove che riconducano ad un’aggressione da parte di un Paese ostile (nei mesi scorsi diversi siti italiani erano stati attaccati invece dalla Russia). L’opzione più probabile è invece l’azione di criminali informatici, che chiedono il pagamento di un riscatto.

Gli esperti informatici stanno anche cercando di identificare tutti i soggetti potenzialmente vulnerabili, in modo da circoscrivere gli effetti negativi che potrebbero derivare non solo per i loro sistemi informatici, ma anche per noi cittadini. In Francia e Germania, ad esempio, sono stati colpiti massicciamente i server di ospedali e ambulatori, con evidenti ripercussioni sui servizi alle persone.

Attacchi hacker russi in Italia: chi è più colpito

L’elenco dei server italiani colpiti dall’attacco hacker

Ad essere colpiti sono stati server che non avevano eseguito aggiornamenti dal 23 febbraio 2021, data in cui il sistema operativo VMware Esxi era diventato vulnerabile.

Ma quali sono i 19 server italiani presi di mira? Secondo quanto ricostruito da Repubblica “sulla base di informazioni ritenute attendibili”, scrive il giornale, si tratterebbe di server sparsi su e giù per l’Italia. Ecco l’elenco, con città, regione, server e titolare (dove non indicato il titolare è perché risulta sconosciuto):

  1. Basiano – Lombardia – Irideos Spa – KPNQwest Italia S.p.a.
  2. Pescara – Abruzzo – Netsons s.r.l. – Netsons s.r.l. (*vedi aggiornamento in testa all’articolo)
  3. Pozzuoli – Campania – Vodafone
  4. Rende – Calabria – INTERBUSINESS
  5. Lagonegro – Basilicata – Fastweb Networks
  6. Milano – Lombardi – Seflow S.N.C. Di Marco Bramé &C. – Seflow
  7. Mazara del Vallo – Sicilia – Speed-net S.R.L – Speednetsrl
  8. Milano – Lombardia – SoftLayer – SoftLayer Technologies, Inc
  9. Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l. (*vedi aggiornamento in testa all’articolo)
  10. Arezzo – Toscana – Aruba S.p.A. Network – Aruba S.p.A.
  11. Roma – Lazio – INTERBUSINESS – Sistemi Avanzati srl
  12. Arezzo – Toscana – Aruba S.p.A. – Aruba S.p.A.
  13. Pomigliano d’Arco – Campania – THREEMINDS
  14. Daverio – Lombardia – 11-xDSL-CUST STATIC Aruba S.p.A. Network – InternetONE SRL
  15. Arezzo – Toscana – Aruba S.p.A. Network – Aruba S.p.A.
  16. Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l. (*vedi aggiornamento in testa all’articolo)
  17. Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l. (*vedi aggiornamento in testa all’articolo)
  18. Selci – Lazio – StiAdsl srl – StiAdsl
  19. Verona – Veneto – DIGISAT Main.

“A parte il caso dei tre server di Aruba, nessuno di questi nomi, a prima vista, sembra collegabile a gestori di massicce quantità di dati in Italia, né di dati di interesse strategico o particolarmente sensibile” scrive Repubblica. Aruba ha comunque dichiarato che i suoi tre server infiltrati sono “gestiti in totale autonomia da clienti”.

A questi server i criminali informatici hanno chiesto il pagamento di un riscatto pari a 2 bictoin – pari a circa 39.370 euro – per avere la chiave di decrittazione che dovrebbe consentire ai titolari dei dati esfiltrati di tornare a utilizzarli. “Secondo me pagheranno tutti – ha raccontato a Repubblica un operatore della cybersicurezza che preferisce restare anonimo -, anche perché in qualche caso potrebbe costare di più ripristinare i server. Tra l’altro chi non fa un aggiornamento da due anni potrebbe non avere fatto nemmeno un backup dei dati particolarmente aggiornato, ragione ulteriore per pagare il riscatto”.

Oltre a questi, anche l’Università Federico II di Napoli ha fatto sapere di essere stata colpita dall’attacco hacker, ma dalle verifiche effettuate già da sabato, in seguito alla segnalazione, “non abbiamo evidenza di compromissioni dei siti istituzionali” spiega l’ateneo in una nota ufficiale. “Si è comunque provveduto alla verifica dell’installazione della patch, per aumentare la sicurezza, su tutti i sistemi gestiti dal Centro di Ateneo per i Servizi Informativi – CSI, che sono peraltro protetti da firewall, dispositivo per connessioni in sicurezza, e su classi di indirizzo non raggiungibili dall’esterno”.

Tim down, c’entra con il cyberattacco?

Non c’entra invece con il cyberattacco il Tim down. Il colosso italiano di telefonia e servizi internet ha fatto sapere che il problema è rientrato e il servizio si è stabilizzato alle ore 16:55 del 6 febbraio. Dalle verifiche effettuate, spiega Tim, il problema ha riguardato il flusso dati su rete internazionale che ha generato un impatto anche in Italia.

“L’azienda si scusa con i propri clienti per il disagio arrecato”, ma gli abbonati sono inferociti. Come sempre è sceso in campo il Codacons, chiedendo all’azienda di fornire garanzie ai cittadini coinvolti, valutando indennizzi per chi ha subito danni a causa del down della rete.

Intanto, è attivo su Twitter il servizio tim.social/angie gestito dal customer care del Gruppo TIM è pronto a fornire informazioni e supporto sia per Tim Fisso che per Tim Mobile.

Cosa vuole fare il Governo

A fronte del cyberattacco, il Governo ha annunciato ora che adotterà immediatamente un DPCM per favorire il raccordo di lavoro di prevenzione delle Regioni con ACN.

Viene anche istituzionalizzato un tavolo di ACN di confronto periodico con tutte le strutture pubbliche e private che erogano servizi critici per il nostro Paese, a cominciare dai ministeri, dalle banche e dalle assicurazioni.