Febbraio 2023: attacco hacker internazionale, colpita anche l’Italia

Quanto è importante aggiornare i sistemi?

L’attacco hacker mondiale dell’inizio di questo febbraio 2023 risponde per noi: MOLTO.  Sono stati compromessi da un software malevolo, un ransomware, ovvero un programma che cripta i dati e li rende inutilizzabili per l’utente, più di 2000 server nel mondo.

I sistemi bersagliati in quest’occasione sono collocati in diversi Paesi: Stati Uniti, Canada, Regno Unito, Francia e Italia. Il 2 febbraio era stato “infettato” l’operatore inglese di prodotti finanziari derivati Ion. LockBit, il gruppo che ha rivendicato l’attacco a IOn ha affermato che il riscatto è stato pagato, e la società non ha commentato.

Questo è quel che succede solitamente con questo tipo di virus: chi effettua l’attacco cripta i dati, rendendoli illeggibili ed inutilizzabili per poi richiedere un riscatto (ransom), solitamente in criptovalute, per rendere nuovamente disponibile quanto bloccato. Non sempre però, anche una volta pagato, si rientra pienamente in possesso dei files. Non solo. Un attacco di questo tipo può valere una doppia minaccia: chi si rifiuta di pagare, oltre a non avere più i propri file decriptati, rischia di vedere pubblicati dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

In questo caso specifico, l’attacco ha sfruttato una vulnerabilità della piattaforma VMware ESXi, un noto hypervisor per la gestione di server virtuali, che era nota già da un paio d’anni e per cui era già stata rilasciata una patch dagli sviluppatori. Il virus si è quindi diffuso solo nei sistemi che non avevano proceduto ad effettuare l’aggiornamento del software, lasciando i servizi vulnerabili a problematiche annunciate.

Il tipo di ransomware utilizzato in questo contesto è addirittura as a service (RaaS). Si tratta del Lockbit 3.0 e funziona così: gli affiliati depositano del denaro per l’uso di attacchi personalizzati su commissione e traggono profitto dal pagamento dei riscatti, perché questi sono divisi tra gli hacker incaricati e gli “investitori”, che ricevono fino a ¾ dei fondi del riscatto.

Si tratta, insomma, di un vero e proprio business che bersaglia soprattutto le aziende e gli enti pubblici a scopo estorsivo, senza soluzione di continuità.

È per questo che, in Nord Est Systems, ci preoccupiamo che i nostri clienti abbiano sempre l’ultimo aggiornamento disponibile e lo garantiamo attraverso Qdatacenter. Tra le sue varie caratteristiche, la piattaforma di Qdatacenter vanta un sistema di aggiornamento automatico che porta automaticamente tutti i sistemi attivi all’ultima patch di sicurezza rilasciata senza richiedere alcun intervento da parte dell’utente. Dispone inoltre di misure di sicurezza architetturali per proteggere l’infrastruttura che ospita le applicazioni: grazie alla tecnologia di isolamento delle reti virtuali e del filesystem distribuito, capace di creare punti nel tempo istantanei e invisibili alla rete degli utenti, è possibile rendere nulli attacchi come ransomware e cryptolocker.

Non si tratta quindi solo di prevenire tramite gli aggiornamenti. II sistema di Backup e Disaster Recovery integrato di Qdatacenter consente, infatti, di far ripartire l’IT di un’intera azienda in pochi minuti anche a seguito di attacchi di questa natura o di catastrofi ambientali.

Nel caso del tipo di attacco di cui abbiamo appena trattato, il backup è l’unica vera soluzione: se l’azienda colpita testa i propri backup e questi risultano completi e coerenti e se le procedure di ripristino sono state verificate, il danno subito sarà limitato a:

– il tempo di down di servizio tra quando l’attacco ha avuto successo e il momento in cui riesce ad attivare i servizi

– la perdita di dati compresa tra la fine dell’ultimo processo di backup e l’attacco (oltre ai dati che non ha potuto produrre nel periodo di down).

La sicurezza informatica è ormai prioritaria e non strutturarla significa esporre un’azienda a delle perdite potenzialmente bloccanti, quando non completamente distruttive.

Noi consigliamo una pianificazione strategica, che non lasci scoperto il settore IT di elementi fondamentali, in modo da non doverne ammettere l’importanza solo dopo aver subito un incidente di sicurezza informatica. Come già dicevano in altri contesti: prevenire è meglio che curare! E tu? Quanto sei al sicuro?

---