L’attacco hacker che nella giornata di ieri ha interessato vari paesi al mondo, tra cui in maniera estesa Francia e Italia, ha sfruttato una vulnerabilità conosciuta da diversi anni della piattaforma VMware Esxi. Il software fa parte del catalogo di programmi di VMware dedicati alla “virtualizzazione”. Con il termine ci si riferisce alla possibilità di simulare uno o più sistemi operativi all’interno di un computer, isolati e indipendenti, per vari scopi. Tra i tanti, la gestione di computer di un’azienda o di vari servizi e progetti ospitati in rete, anche verso un pubblico vasto come gli utenti di una pubblica amministrazione. L’operatore che ha accesso diretto a Esxi è il tecnico o il “sistemista” di un’organizzazione, parte del reparto IT dell’azienda. Infettare il computer su cui gira una macchina virtuale, a causa di un ransomware, vuol dire bloccare l’operatività di un’impresa o di una PA, con ricadute sui cittadini.

Lo ha sottolineato Alessandro Piva, direttore dell’Osservatorio Cybesecurity & Data Protection del Politecnico di Milano: “Se il blocco interessa server e computer dove sono presenti applicazioni e servizi digitali, offerti da aziende private e pubbliche amministrazioni, è lecito aspettarsi l’impossibilità di accedere o un progressivo rallentamento nella fruizione del servizio stesso. Il ripristino dei sistemi si renderà difficile nel caso gli archivi, tutti o in parte, non siano stati salvati altrove, prima dell’attacco”. Dal punto di vista tecnico, la vulnerabilità conosciuta e risolta già nel 2021 da VMware è indicata con la stringa “CVE-2021-21974” e permette, se utilizzata, di eseguire comandi da remoto sulle macchine colpite.

Il ransomware, denominato EsxiArgs, rende illeggibili i file sul computer, di fatto bloccandone l’accesso. L’utente visualizza le istruzioni da seguire per pagare il riscatto, circa due bitcoin, entro tre giorni. Poca importanza alla cybersecurity o difficoltà nel gestire i processi di aggiornamento le possibili cause della mancata applicazione della correzione da parte delle decine di organizzazioni nazionali coinvolte. Come spiegato da Raffaele Gigantino, Country Manager di VMware Italia. “La sicurezza dei nostri clienti è una priorità assoluta. Stando a quanto riportato pubblicamente, una variante del ransomware sembra sfruttare una vulnerabilità di due anni fa per la quale sono state rese disponibili le patch il 23 febbraio del 2021. L’aggiornamento dei sistemi è una componente fondamentale per prevenire gli attacchi ransomware. VMware consiglia a tutti gli utenti di iscriversi alla mailing list di avvisi di sicurezza e di visitare il “Ransomware Resource Center” per una guida dettagliata sulla prevenzione, il rilevamento e la risposta alle minacce di questo tipo”.