ATTACCHI HACKER: COME PROTEGGERSI

IL PERCHÉ DEGLI ATTACCHI RANSOMWARE

Spesso gli attacchi informatici sono guidati da motivazioni socio-politiche o finalità criminose per l’estorsione di denaro; la comunità hacker è quindi alla costante ricerca di nuove debolezze sfruttabili per raggiungere il proprio intento. Diventa pertanto molto importante essere consapevoli di quelle che sono le proprie vulnerabilità ed agire per ridurle il più possibile.
Nel 2023 è pressoché fondamentale per ogni organizzazione intraprendere un percorso ricorsivo di vulnerability assessment e penetration test; infatti, una vulnerabilità non nota oggi potrebbe essere una nuova minaccia domani, questa è l’unica strada percorribile per cercare di combattere questo conflitto.

Surveye_Ransomware600x400

NEL 2023 COME SIAMO MESSI CON LA CYBER SICUREZZA DEI NOSTRI DATI?

Visti gli ultimi episodi avvenuti Domenica 5 febbraio è evidente che, a questo aspetto, molte organizzazioni abbiano dedicato pochissima attenzione ed energia.
Nella giornata di Domenica migliaia di server in tutto il mondo, non solo in Italia, sono state prese di mira con un attacco ransomware sviluppato per sfruttare una nota vulnerabilità (CVE-2021-21974) che affligge i sistemi di hypervisor VMware ESXi.
Secondo fonti autorevoli, l’attacco ransomware ESXiArgs è stato in grado di infettare più di 20 macchine (fisiche) all’ora, ricordiamo che ogni macchina fisica può ospitare numerosi server virtuali che sono stati a loro volta infettati da comandi dannosi provenienti dal VM guest di ESXi.

Cyber security concept with padlock symbol, computer protection and system safety icon. Futuristic abstract 3d rendering illustration.

COSA FARE PER RIMANERE AL SICURO?

Citando l’episodio di inizio Febbraio 2023, è importante sapere che la vulnerabilità era stata scoperta nel 2021 e fixata da VMWare con una patch rilasciata il 23 febbraio 2021; è quindi fondamentale assicurarsi che i propri sistemi vengano aggiornati costantemente da professionisti del settore.
Un altro punto chiave della vicenda è relativo alla modalità di attacco, infatti tutti i server exploitati erano direttamente esposti su internet e quindi accessibili dalla rete pubblica; visto il costante proliferare di attacchi zero-day dobbiamo cercare di esporre su internet solo quanto strettamente necessario evitando qualsiasi interfaccia atta alla configurazione dei nostri sistemi.