Atac al hackerilor la nivel mondial, duminică / Agenția Italiană de Securitate Cibernetică: „Afectează întreaga lume, sunt câteva mii de servere afectate” / Se pare că nu are legătură cu hackerii ruși
Un „atac masiv care utilizează un ransomware aflat deja în circulație” a fost detectat de echipa italiană de răspuns la incidente de securitate informatică a Agenției Naționale de Securitate Cibernetică (Acn). Potrivit agenției atacul a avut loc la nivel mondial și vizează „câteva mii de servere” care au fost compromise, relatează Corriere della Sera.
Italia a fost, de asemenea, puternic afectată, alături de alte țări europene, precum Franța, țara cea mai afectată, și Finlanda, dar și America de Nord, cu Canada și Statele Unite. În Italia, mai explică Acn, există zeci de companii care s-au confruntat cu activități cibernetice împotriva lor, iar numărul acestora este pe cale să crească.
Potrivit surselor Corriere, nu ar exista nicio legătură între acest atac și evenimentele recente de activism politic din Italia sau situația politică și militară internațională, cu referire la războiul din Ucraina, ci ar fi vorba mai degrabă de infractori cibernetici obișnuiți, interesați să extorcheze bani de la companiile și instituțiile afectate.
Vulnerabilitatea afectează în special serverele VMware ESXi și a fost exploatată prin atacuri ransomware care criptează sistemele afectate și le fac inutilizabile până la plata unei răscumpărări.
Vulnerabilitatea exploatată de hackeri a fost deja remediată în trecut de către producător, și chiar cu ceva timp în urmă: încă din februarie 2021. Cu doi ani în urmă, dar, în mod evident, mulți administratori de sistem nu s-au deranjat să aplice patch-urile corecte, adică „remedierile” corespunzătoare pe servere. Vulnerabilitatea necorectată a permis hackerilor să lanseze valul de atacuri înregistrat în weekend. Primii care și-au dat seama de acest lucru, raportează Acn, au fost francezii, probabil din cauza numărului mare de infecții înregistrate pe sistemele unor furnizori din Franța. Ulterior, valul de atacuri s-a mutat în alte țări, inclusiv în Italia.
Autoritatea Națională pentru Securitatea Informației reiterează în notă „că este o prioritate pentru toată lumea să elimine deficiențele identificate și să dezvolte o strategie de protecție adecvată”.
Ziua a fost marcată în Italia de problemele companiei Tim, cu o cădere generală semnalată încă de duminică dimineața, în toată Italia. Cazul Tim, potrivit companiei însăși și experților consultați de Corriere, s-a datorat totuși unei defecțiuni tehnice de nivel înalt, a cărei remediere a durat ore întregi (serviciul normal, spune Tim, a fost restabilit la ora 16.55).
Atacul foarte grav de ransomware care a lovit joi compania de electricitate, apă și gaze din Roma, Acea, pare să aibă și el o altă origine. În acest caz, atacul a fost revendicat de grupul BlackBasta.
Vulnerabilitatea exploatată de hackeri a afectat serverele VMware.
Acesta este un software de la VMWAre Inc. (o companie cu sediul în Palo Alto, California) care creează o „mașină virtuală” pe un computer și care este utilizat în principal în mediul de afaceri. Prin „virtualizare” se înțelege posibilitatea de a crea un mediu de calcul simulat (sau, într-adevăr, virtual), care să fie utilizat în locul unui mediu fizic. Astfel, mai multe mașini virtuale pot rula pe același hardware, împărțind resursele.
VMware ESXi, care a fost afectat de atacul ransomware în versiunile nepotrivite, este un „hipervizor” sau, pentru a simplifica, un software care permite crearea și gestionarea mașinilor virtuale. Acesta acționează ca un intermediar între hardware-ul computerului și sistemele de operare găzduite în mașinile virtuale: le atribuie resurse hardware – cum ar fi CPU, memorie și disc – astfel încât fiecare mașină virtuală să poată rula propriul sistem de operare și propriile aplicații, ca și cum ar fi instalate direct pe computer.
Ransomware este o amenințare informatică care infectează un sistem, îl blochează sau îi afectează capacitatea de utilizare, iar apoi cere plata unei răscumpărări (ransomware) pentru a-l putea utiliza din nou. Toate fișierele din cadrul sistemului, care poate fi un computer sau o întreagă rețea a uneia sau mai multor companii, sunt criptate pentru a nu putea fi citite de proprietarul legitim, iar codul de deblocare este oferit numai după efectuarea plății. Infecția are loc prin intermediul unui link sau al unui atașament dintr-un e-mail, pe care unul dintre utilizatorii rețelei face clic. Odată introduse pe un computer, acestea pot rămâne în stare latentă timp de luni de zile înainte de a deveni active. Acesta pare să fie cazul atacului care a afectat Italia.
Donează lunar pentru susținerea proiectului G4Media
Donează suma dorită pentru susținerea proiectului G4Media
CONT LEI: RO89RZBR0000060019874867
Deschis la Raiffeisen Bank