Tim Business, coinvolta nell’attacco hacker a Microsoft Exchange, spiega ai clienti cosa fare

L’attacco da parte del gruppo hacker cinese Hafnium è sicuramente tra i più grandi di tutti i tempi e le prime tracce si hanno già lo scorso gennaio. In Italia pochissimi ne hanno parlato negli ultimi mesi – soprattutto testate verticalizzate su tecnologia e computing -, noi abbiamo affrontato la questione la settimana scorsa mettendo in evidenza i pericoli per le aziende che usano Exchange di Microsoft. L’azione mirata per depredare dati e documenti di specifici account ha comportato il coinvolgimento di ben 250 mila soggetti e 30 mila aziende coinvolte. Mentre negli Stati Uniti l’FBI e Biden stanno operando con una task force per proteggere le aziende americane, in Italia – secondo Bloomberg – ad essere stata colpita sarebbe Wind Tre. Se da parte sua non ci sono state conferme in merito, oggi arriva invece un avviso ai clienti da parte di Tim Business.

LEGGI ANCHE >>> Come i bug di Microsoft Exchange hanno messo a rischio i documenti delle aziende italiane

Clienti Tim Business vittime dell’hackeraggio cinese a Exchange

Come rende noto il portale DDay.it, Tim Business è la prima a rendere noto ai suoi clienti di essere vittima del massiccio attacco hacker ad opera del gruppo cinese Hafnium. Sono migliaia le aziende italiane colpite e a Tim vanno riconosciute l’onestà e la trasparenza nell’essere intervenuti prontamente dopo aver registrato una serie di possibili accessi non autorizzati, avvertendo i clienti. Ad essere vittima direttamente sono i clienti Tim Business che usavano Microsof Exchange come server per la posta elettronica. Nel messaggio per i clienti Tim ha spiegato che non appena Microsoft ha rilasciato le patch correttive il 3 marzo, queste sono state installate sui server procedendo con tutte le verifiche necessarie. Proprio facendo gli ultimi controlli sono emersi possibili accessi non autorizzati ad alcuni server di posta elettronica.

Cosa devono fare i clienti Tim dopo l’hackeraggio Microsoft Exchange?

Tim, oltre a spiegare quanto accaduto, ha dato anche un consiglio preciso ai clienti: cambiare password. Vista la portata dell’attacco è probabile che, nei prossimi giorni, altre aziende facciano comunicazioni simili – sempre se sceglieranno di gestire la questione con la stessa trasparenza di Tim -. Mentre le patch correttive venivano distribuite gli hacker cinesi hanno potuto agire indisturbati per almeno un mese, intensificando l’attacco.

Le notizie delle ultime ore portano a pensare che la situazione sia degenerata e che dobbiamo ancora renderci conto della portata dei danni, considerato che altri gruppi hacker hanno sfruttato il primo attacco per accedere e controllare i server a loro volta. Si tratta di quasi 7 mila web-shell esposte pubblicamente sul web che sono state utilizzate per caricare ransomware – ovvero dei  malware che limitano l’accesso al dispositivo che è stato infettato chiedendo un riscatto per far tornare tutto come prima -. Il ransomware in questione è stato chiamato DearCry ed è relativamente semplice: non fa nulla per nascondersi ma agisce rendendo i file che colpisce irrecuperabili sovrascrivendo il documento originale dopo aver chiuso la copia criptata andando poi a cancellarlo.