Lattacco hacker che ha colpito l’Italia rappresenta una novità seppur attesa dalle nefaste previsioni del world economic forum che ha previsto la prossima pandemia cibernetica.
La notizia diffusa agli organi di stampa ha creato molto scompiglio nel mondo IT, tanto da far faticare chi ha provato a fare chiarezza su una mole di informazioni che ha iniziato a circolare dalle prime ore generando molta confusione.
La comunicazione è stata giudicata da molti poco professionale ed istituzionale, se si considera che si tratta di un problema ad una infrastruttura strategica per la sicurezza nazionale.
Attacco ransomware o rischio di attacco ransomware?
la vulnerabilità che ha causato forti preoccupazioni ha riguardato il software di virtualizzazione delle macchine hardware in più unità software WmWare.
una vulnerabilità scoperta in Francia e già risolta dal produttore del software.
Questa vulnerabilità, se non aggiornata, può aprire il computer o il server ad un rischio di esecuzione remota di un file malevolo che può essere vario quanto il numero di varianti che la famiglia di malware offre.
Si sospetta che il potenziale attacco sia finalizzato all’installazione di un ransomware che cripta i dati sul dispositivo con i criminali che successivamente pretendono un riscatto per liberare i files e in molti casi anche per non pubblicarli.
Mentre le notizie parlano di grave rischio nazionale, i numeri dei pc infetti al momento della pubblicazione dell’articolo sono solo 19 e riguardano server appoggiati a diversi provider di rete come Aruba, Tim Business, Fastweb come riferisce l’autore del grafico il ricercatore informatico Emanuele De Lucia interpellato dalla redazione di Matrice Digitale.
I precedenti su questa vulnerabilità riportano ad una ransomware gang specifica, ma secondo l’analista ci si trova dinanzi ad un malware nuovo seppur elementare e quindi difficilmente associabile ad uno specifico gruppo criminale.
La disinformazione dell’agenzia nazionale
il caso della vulnerabilità è stato riportato in data 4 febbraio dopo la scoperta in Francia. Seppur si tratti di una notizia tecnica rilevante negli ambienti IT, bisogna constatare che ogni giorno vengono scoperte vulnerabilità informatiche gravi e lievi e l’allarmismo non è giustificato dai numeri italiani e nemmeno da quelli francesi a quanto pare visto il silenzio che LeMonde ha dedicato nella sua homepage all’evento come da video registrato alle ore 19 circa.
Anche la notizia che avrebbe colpito 120 paesi è fuorviante perché una vulnerabilità di un software colpisce tutti i dispositivi non aggiornati e quindi potenzialmente può colpire tutti i paesi ONU ed anche l’Antartide se vi è una macchina non aggiornata.
Cali di prestazione della rete
Unitamente al panico sugli attacchi ransomware ipotetici e problematici tanto da mettere in difficoltà un intero paese, c’è da evidenziare un calo di prestazioni della rete Internet è nello specifico su alcuni provider. Matrice digitale ha chiesto un parere al ricercatore Odisseus su eventuali cause concatenate con l’infezione da ransomware.
La parte tecnica del ransomware non la conosco, ma potrebbe spegnere i server tra le sue funzioni: i server VMWare possono contenere anche decine di macchine virtuali. Quindi se vanno giu decine di server VMWare – ESX questo puo’ significare che le macchine virtuali che vanno giù siano centinaia. Ecco spiegato il calo di rete. Facendo un esempio pratico, Il pool di connessioni per prima reggeva un carico di 1000 ora regge solo 100.
