Dopo Francia e Italia, anche la Germania nel mirino degli hacker. Ransomware: come funzionano e perché sono così pericolosi

Chiara De Carli

06/02/2023

06/02/2023 - 15:16

condividi
Facebook
twitter whatsapp

Nel mirino numerose aziende e pubbliche amministrazioni, tra cui il comune di Biarritz, in Francia. Intanto in Italia, il governo ha convocato un vertice per un primo bilancio dei danni. Venerdì era stata presa di mira anche l’Università di Zurigo.

Dopo Francia e Italia, anche la Germania nel mirino degli hacker. Ransomware: come funzionano e perché sono così pericolosi

Anche la Germania finisce nel mirino dei recenti attacchi informatici che utilizzano dei ransomware, ovvero dei software di ricatto. A detta degli esperti, l’epicentro delle attività di sabotaggio ha coinvolto prevalentemente Francia, Stati Uniti, Germania e Canada. Gli attacchi sono tutti del tipo "ransomware", ovvero che prevede l’invio di una malware che limita l’accesso del dispositivo infettatto, richiedendo un riscatto da pagare per rimuovere la limitazione. Una volta penetrati nei sistemi, gli aggressori ne prendono il controllo e ne bloccano ogni attività.

Anche l’Italia tra le vittime

Italia e Francia, ma anche Finlandia, Usa, Canada e altri Paesi sono state vittime nelle scorse ore di un cyberattacco. Poco dopo le 17 di domenica, l’Agenzia italiana per la cybersicurezza nazionale (Acn) ha segnalato che era in corso un attacco informatico a danno di oltre 2’100 sistemi di tutto il mondo. Numero destinato ad aumentare ulteriormente. Stando al Corriere della Sera, sarebbe a opera di cybercriminali comuni, interessati a estorcere denaro alle aziende e istituzioni colpite.
I primi ad accorgersi degli attacchi, i francesi. Tre giorni fa il Centro di risposta alle emergenze informatiche (Cert) francese aveva lanciato l’allarme. Di fatto è stato ignorato e ora si stanno pagando le conseguenze.

Poteva essere evitata

Il «massiccio attacco» è avvenuto tramite un ransomware già in circolazione che colpisce in modo particolare i server VMware ESXi, sfruttando la vulnerabilità con attacchi che cifrano i sistemi colpiti e li rendono inutilizzabili fino a pagamento di un riscatto. Tuttavia già due anni fa, nel febbraio del 2021, il produttore aveva provveduto a correggere tale vulnerabilità con delle patch. Agli amministratori non restava altro che aggiornare i server per correggere le falle dei sistemi. In questo modo avrebbero evitato questa strage, in un certo senso, preannunciata.

Colpite aziende e pubbliche amministrazioni

Gli attacchi informatici di norma sfruttano sempre la vulnerabilità nel software. La negligenza è di chi - alla luce della soluzione individuata dalla californiana VMware - ha scelto di ignorare la faccenda, non aggiornando il software e lasciandolo alla mercé delle azioni degli hacker. Prese di mira, numerose aziende e pubbliche amministrazioni. Tra cui anche il comune di Biarritz, a sud della Francia.

2 Bitcoin, il riscatto

La tecnica adottata è più o meno sempre la stessa. I computer vengono bloccati dal ransomware e all’accensione compare una nota con richiesta di riscatto. Se si desidera recuperare i file o evitarne quanto meno la perdita, i cybercriminali chiedono di inviare 2.0 Bitcoin entro tre giorni. Pena, informare i clienti dell’avvenuta violazione dei dati tramite e-mail e messaggi di testo. Inoltre - spiega il Corriere della Sera - il portafoglio digitale su cui versale i bitcoin è sempre diverso a ogni nota di riscatto, così come l’importo richiesto, tra i 2,01 e 2,06 Bitcoin. Insomma, viene richiesta una cifra sui 42 mila euro.

Dietro all’attacco dei cybercriminali comuni

Molto probabilmente dietro agli attacchi si trova il nuovo ceppo ransomware basato su Rust, chiamato Nevada. Sulla scena è comparso nel 2022. Gli esperti concordano sul fatto che siano legati a cyber gang comuni, poiché al momento non vi sono elementi che riconducano a terrorismo internazionale o alle situazioni geopolitiche di attualità. Anche se, la maggior parte dei gruppi attivi in questi generi di attacchi, ha base nell’Est Europa.

Presa di mira anche l’Università di Zurigo

Venerdì scorso, l’Università di Zurigo aveva dichiarato di essere alle prese con una lotta contro gli hacker. Per riuscire a mantenerli fuori dalle zone critiche, gli addetti alla sicurezza informata hanno isolato parti del sistema, compromettendo l’accesso ai suoi server. Con questa pronta reazione, però, sono riusciti a impedire ai cybercriminali di crittografie o estrarre i dati. Non si sa, se dietro l’attacco informatico all’ateneo svizzero, si nascondano o meno gli stessi hacker che hanno poi messo a segno il colpo di domenica.

Argomenti

Iscriviti alla newsletter