L’allarme è scattato domenica 5 febbraio con una nota dell’Agenzia per la cybersicurezza nazionale (ACN) che ha annunciato che era in corso un attacco informatico ai danni di “decine di sistemi”, sia in Italia che in altri paesi. Un attacco ransomware globale che già domenica sera aveva superato in tutto il mondo quota 2.100. Ma il numero è salito nelle ore successive. Secondo quanto riportato dal Corriere della Sera si sarebbe trattato di un allarme annunciato già due anni fa, o quantomeno una possibilità per cui era già stata creata la soluzione. Cosa è accaduto?

Si è trattato di un attacco ramsomware, un tipo di programma che una volta istallato in un sistema lo rende inaccessibile al legittimo proprietario. Per potervi riaccedere è necessario pagare un riscatto agli hacker che in questo caso avrebbero dato tre giorni di tempo per pagare 2 bitcoin, una cifra di circa 42mila euro (variabile di poco a seconda dei casi). Si tratta di un attacco abbastanza comune: ogni anno in Italia ne vengono segnalati centinaia e colpiscono per lo più aziende o strutture pubbliche.

L’attacco ha colpito i server di VMWare ESXi, un servizio molto diffuso di virtualizzazione dei server e avrebbe sfruttato un punto debole di questi server già segnalato due anni fa dall’azienda che aveva fornito una patch, cioè una nuova parte di software per aggiornare o migliorare il programma. “E 3 giorni fa il Cert francese (il Centro di risposta le allerta cyber, ndr) aveva lanciato l’allarme: è stato più o meno ignorato e questo fatto è di una gravità sconcertante”, ha detto al Corriere Corrado Giustozzi, divulgatore ed esperto di cyber-sicurezza, partner di Rexilience.

Non è ancora chiara l’entità esatta dell’attacco, ma sarebbero stati colpiti oltre 2.100 bserver di cui molte aziende e amministrazioni pubbliche tra cui il comune francese di Biarritz, uno dei pochi bersagli trapelati al momento. Secondo Giustozzi “c’è di mezzo una catena infinita di sciatteria e disinteresse per non aver fatto gli aggiornamenti dovuti… E per di più il software in questione può essere attaccato solo se esposto su Internet, cosa che andrebbe evitata. Chi è nei guai non dico che se li è andati a cercare ma di certo non si è mosso in tempo con le contromisure”.

“Allarme rosso!!! Abbiamo hackerato con successo la tua azienda. Tutti i file vengono rubati e crittografati da noi. Se si desidera recuperare i file o evitare la perdita di file, si prega di inviare 2.0 Bitcoin. Invia denaro entro 3 giorni, altrimenti divulgheremo alcuni dati e aumenteremo il prezzo. Se non invii bitcoin, informeremo i tuoi clienti della violazione dei dati tramite e-mail e messaggi di testo”, recita la nota visualizzata sui pc bloccati. E viene segnalato il portafoglio digitale su cui versare i bitcoin, differente per ogni nota di riscatto.

Non è chiaro nemmeno chi siano i criminali digitali autori dell’attacco. Gli esperti internazionali sembrerebbero però d’accordo nel dire che si tratta di cybergang comuni e non collegati al terrorismo internazionale o legati ai fatti attuali di geopolitica. Non nota la nazionalità, anche se la maggior parte dei gruppi attivi nel ransomware gravita nell’Europa dell’Est. Si tratta di attacchi comunque non estremamente rari, tanto che l’Italia è il primo Paese in Europa e settimo al mondo per numero di attacchi. Secondo Giustozzi c’è ancora molta ignoranza sulla sicurezza informatica e suggerisce che siano messe in campo normative per evitare i rischi: “E occorrerebbero norme come quelle per i sequestri di persona negli anni ‘70, che vietino o rendano difficile ai soggetti colpiti di pagare i riscatti, per non alimentare il circolo vizioso”.

Avatar photo

Laureata in Filosofia, classe 1990, è appassionata di politica e tecnologia. È innamorata di Napoli di cui cerca di raccontare le mille sfaccettature, raccontando le storie delle persone, cercando di rimanere distante dagli stereotipi.