«Nessuna istituzione è stata colpita», la nota di Palazzo Chigi sull’attacco hacker

Non ci sono evidenze di un attacco “su mandato”, né di gruppi di pirati informatici che fanno riferimento a uno Stato o un Paese considerato ostile. Questa è la sintesi di quanto emerso questa mattina a Palazzo Chigi, dove è andata in scena una riunione di emergenza dopo l’attacco hacker che ha colpito alcuni server VMware EXSi che non avevano effettuato l’aggiornamento tramite una patch messa a disposizione – a livello globale – nel febbraio del 2021. Non si è trattato, come invece avevano “titolato” alcuni quotidiani nostrani, di un attacco all’Italia, ma di un’offensiva a livello globale (attraverso un ransomware) che non aveva come unico obiettivo il nostro Paese.

LEGGI ANCHE > Cosa significa che c’è stato un «attacco hacker globale»

Alla riunione hanno partecipato il Sottosegretario alla Presidenza del Consiglio con delega alla Cybersecurity Alfredo Mantovano, il direttore generale dell’Agenzia per la Cybersicurezza Nazionale Roberto Baldoni e la Direttrice del Dipartimento delle informazioni per la sicurezza Elisabetta Belloni.

Attacco hacker, la nota di Palazzo Chigi dopo la riunione

«In merito all’attacco hacker verificatosi su scala mondiale, la riunione tenuta stamane a Palazzo Chigi, coordinata dal Sottosegretario con la delega alla Cybersecurity Alfredo Mantovano, con l’ing. Roberto Baldoni e l’amb. Elisabetta Belloni, è servita a verificare che, pur nella gravità dell’accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita. Nel corso delle prime attività ricognitive compiute da ACN-Agenzia per la Cybersicurezza Nazionale, unitamente alla Polizia Postale, non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un ‘riscatto’».

Confermato, dunque, l’attacco ransomware. Poi, però, la nota di Palazzo Chigi riprende quanto già dichiarato dall’ACN proprio in concomitanza della notizia dell’offensiva che dovrebbe aver colpito (ma i dati ufficiali ancora non ci sono) circa una ventina di server VMware EXSi esposti per via del mancato aggiornamento di protezione attraverso la patch messa a disposizione del vendor nel febbraio del 2021: «L’aggressione informatica, emersa già dalla serata del 3 febbraio e culminata ieri in modo così diffuso, era stata individuata da ACN come ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia aveva allertato tutti i soggetti sensibili affinché adottassero le necessarie misure di protezione. Taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze».

Il paragone con l’ambito sanitario

La nota di Palazzo Chigi sull’attacco hacker prosegue con un parallelismo: «Per fare una analogia con l’ambito sanitario, è accaduto come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a una opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute per chi a quella prevenzione non avesse ottemperato. Il lavoro che ACN e Polizia postale stanno svolgendo in queste ore è anche quello di identificare tutti i soggetti potenzialmente vulnerabili, in modo da circoscrivere gli effetti negativi che potrebbero derivare non solo per i loro sistemi informatici, ma pure per la popolazione (si pensi alle ricadute relative al blocco del sistema di una ASL). Si rinnova pertanto la raccomandazione a che tutte le realtà coinvolte intensifichino le misure di prevenzione possibili, ponendosi immediatamente in relazione con ACN, se non vi hanno già provveduto. Il Governo, dando seguito a quanto previsto dal DL n. 82/2021, adotterà tempestivamente un DPCM per raccordare il fondamentale lavoro di prevenzione delle Regioni con ACN. Nel contempo la stessa Agenzia istituzionalizzerà un tavolo di interlocuzione periodica con tutte le strutture pubbliche e private che erogano servizi critici per la Nazione, a cominciare dai Ministeri e dagli istituti di credito e assicurativi».

I 19 server italiani colpiti

Dopo le rassicurazioni – a livello di sicurezza nazionale – arrivate da Palazzo Chigi e dall’Agenzia per la Cybersicurezza Nazionale, il quotidiano La Repubblica è riuscito a scoprire i nomi dei 19 server colpiti da questi attacchi ransomware: cinque di queste fanno riferimento ad aziende private sconosciute (con server di aziende differenti); tre sono server di Aruba che, però, non ha un “titolare” identificato. Tutte le altre, invece, sono delle s.r.l. (società a responsabilità limitata), quindi aziende private che non archiviano dati pubblici legati alle infrastrutture di Stato. Questo dettaglio, dunque, sembra confermare quanto già indicato dalla ACN: si tratta di attacco ransomware per chiedere il riscatto ad aziende private che non avevano aggiornato la sicurezza del proprio server VMware EXSi con la patch messa a disposizione del vendor nel febbraio del 2021.