Hanno lasciato in giro la chiave del server VMware ESXi. E i cybercriminali ne hanno approfittato

Il caos nel quale sono precipitati nello scorso weekend numerosi server molto importanti in Francia, Germania, Canada, Italia, Usa, Turchia, Uk, Finlandia e altri paesi non è necessariamente un caso. Non è neppure una dimostrazione di grande bravura degli attaccanti. Non mancano dubbi sul fatto che possa essere addirittura una manifestazione di lentezza dei difensori.

Secondo una ricostruzione del Computer Emergency Response Team (Cert) francese, infatti, si tratta di un attacco ai server VMware ESXi che non erano stati aggiornati con una patch per una vulnerabilità che era stata scoperta due anni fa (BleepingComputer). In effetti, patch su questi prodotti sono presenti sul servizio VMware da due anni (VMware). Resta da accertare se oltre a questa vulnerabilità ne siano emerse altre, ma per adesso, non sembra emergano indicazioni diverse da quelle francesi e l’ACN italiana invita tutti ad aggiornare i software di sicurezza sui server.

Gli attaccanti bloccano i dati e chiedono un riscatto da circa 40mila euro in bitcoin.

È abbastanza incredibile che i responsabili di sistemi non aggiornino tempestivamente i loro software anche quando gestiscono servizi importanti. Dopo tanto tempo che la cybersicurezza è diventata un valore strategico, evidentemente, esistono ancora centri informatici disattenti.

Si sa poco degli attaccanti. Nell’ultimo paio d’anni molti attacchi di questo tipo sono stati condotti sotto l’etichetta della banda Lockbit, che pare originaria dell’Europa orientale. Non ci sono notizie per ora sugli autori di questo specifico attacco sia opera loro.

Una strategia più chiara e nota per conoscere meglio i criminali di questo tipo, scoprire dove si trovano, che abitudini hanno, come spendono i soldi, dove trovano le tecnologie che usano, chi frequentano, come si aggiornano, sarebbe preziosa. Si può scommettere che ci siano indagini più energiche di quanto non sembri apparire dall’informazione disponibile. Forse questo è dovuto all’esigenza di non rivelare le piste seguite dagli inquirenti. Forse è dovuto al fatto che gli inquirenti non riescono a trovare i criminali. Di certo, le organizzazioni criminali di questo tipo sono proprio difficili da sgominare. Ma un sistema digitale sempre più prezioso per la vita sociale ha bisogno di una difesa più efficace e proattiva di quella che per ora viene garantita da tante organizzazioni informatiche troppo disattente, troppo lente ad aggiornare i software, troppo fissate sul risparmio dei costi piuttosto che sulla sicurezza dei loro utenti.

Ci si domanda peraltro anche se i responsabili di centri informatici che non hanno aggiornato le difese contro vulnerabilità note dei loro sistemi per due anni possano essere al sicuro da azioni legali contro di loro.

Foto: “Cloud Security – Secure Data – Cyber Security” by perspec_photo88 is licensed under CC BY-SA 2.0.