Atentado de Hacher, qué pasó (no sólo en Italia). Hechos y percepciones
El equipo de respuesta a incidentes de seguridad informática Italia de la Agencia Nacional de Ciberseguridad ha detectado un "ataque masivo utilizando un ransomware que ya está en circulación". Los técnicos de ACN ya han inspeccionado "varias decisiones de sistemas nacionales probablemente comprometidos y alertado a numerosos sujetos cuyos sistemas están expuestos pero aún no comprometidos". En estos momentos hay unos cuantos miles de servidores comprometidos en todo el mundo, desde países europeos como Francia -el país más afectado- Finlandia e Italia, hasta Norteamérica, Canadá y Estados Unidos.
Aquí están todos los detalles.
LO QUE DICE LA AGENCIA DE BALDONI SOBRE EL ATAQUE HACKER
"El Equipo de Respuesta a Incidentes de Seguridad Informática de Italia (Csirt-IT) de la Agencia Nacional de Ciberseguridad (ACN), ha detectado un ataque masivo de 'piratas informáticos' a través de un ransomware que ya circula y se dirige a los servidores VMware ESXi".
La misma agencia lo hizo saber y agregó que el ataque está en marcha en todo el mundo y afecta a "unos pocos miles de servidores comprometidos" "desde países europeos como Francia -el país más afectado-, Finlandia e Italia, hasta América del Norte, Canadá y en los Estados Unidos".
En Italia – explica la ACN – hay decenas de realidades que han encontrado actividad maliciosa en su contra pero según los analistas están destinadas a aumentar. La explotación de la vulnerabilidad permite en una fase posterior realizar ataques de ransomware que, como es sabido, cifran los sistemas afectados dejándolos inutilizables hasta que se paga un rescate por la clave de descifrado.
EN FRANCIA NACE LA AGRESIÓN
La vulnerabilidad explotada por los atacantes para distribuir el ransomware ya ha sido reparada por el proveedor en el pasado, pero no todos los que usan los sistemas actualmente afectados la han reparado. Los servidores objetivo, si no están parcheados, es decir, los "arreglos" apropiados, pueden abrir las puertas a los piratas informáticos comprometidos a explotarlo en estas horas después del fuerte crecimiento de los ataques registrados durante el fin de semana. Los primeros en notarlo fueron los franceses, probablemente debido a la gran cantidad de infecciones registradas en los sistemas de algunos proveedores en Francia.
Los investigadores de seguridad informan una explosión de compromisos del hipervisor VMware ESXi con más de 500 máquinas afectadas por ransomware este fin de semana, con ataques que aprovechan CVE-2021-21974.
EL OVHCLOUD FRANCÉS EN EL OJO DEL CICLÓN
Según lo publicado por The Stack , alrededor de 20 máquinas ESXi estaban siendo atacadas cada hora , según los datos proporcionados por Shodan que mostraban que la mayoría de estas máquinas estaban alojadas en OVHcloud. Pero el alcance se está expandiendo rápidamente.
Inicialmente, los clientes franceses parecían ser los más afectados y el CERT-FR del país fue uno de los primeros en emitir una alerta.
La empresa francesa OVHcloud dijo el 3 de febrero: “Actualmente, una ola de ataques tiene como objetivo los servidores ESXi. Sin embargo, ningún servicio gestionado por OVHcloud se ve afectado por este ataque, ya que muchos clientes utilizan este sistema operativo en sus servidores, proporcionamos esta publicación como referencia para ayudarlos a resolverlos".
ATAQUE DE HACKER, LO QUE ESTÁ PASANDO EN ITALIA
Posteriormente, la ola de ataques se trasladó a otros países, incluida Italia.
La autoridad nacional de seguridad de la información reitera en la nota “que es prioridad para cualquiera cerrar los agujeros identificados y desarrollar una estrategia de protección adecuada”. Según los técnicos de ACN, en efecto, “hemos podido hacer un censo de varias decenas de sistemas nacionales probablemente comprometidos y hemos alertado a numerosos sujetos cuyos sistemas están expuestos pero aún no comprometidos. Sin embargo, todavía hay algunos sistemas expuestos y no comprometidos que no se pueden rastrear hasta su propietario. Estos son llamados inmediatamente para actualizar sus sistemas”.
La vulnerabilidad identificada por análisis recientes como CVE-2021-21974 (ya subsanada por el vendedor en febrero de 2021), afecta a sistemas expuestos en internet que ofrecen servicios de virtualización basados en el producto VMWare ESXi, y tiene un alto impacto, estimado por el técnico comunidad como “alto riesgo/naranja” (70.25/100). Y, sin embargo, no se excluye que otras vulnerabilidades también puedan ser explotadas por actores malintencionados.
En este sentido, la Agencia Nacional de Ciberseguridad que dirige Roberto Baldoni , a través del CSIRT Italia, publicó ayer un boletín específico en el portal público https://csirt.gov.it, en el que también se incluyen los procedimientos para la resolución de la vulnerabilidad, a los que Se invita a referir a los directores técnicos de los servicios de TI públicos y privados.
COMENTARIO DE FLORA
El ataque HACKER de hoy y la DESINFORMACION en los medios.
Leí declaraciones francamente bochornosas de “periodistas” y “agencias”, así que tratemos de aclarar en medio de los gritos alarmistas: caída de proveedores y Ransomware.
— Mateo GP Flora (@lastknight) 5 de febrero de 2023
Esta es una traducción automática de una publicación publicada en StartMag en la URL https://www.startmag.it/cybersecurity/come-e-dove-e-nata-laggressione-hacker-tutti-i-dettagli/ el Sun, 05 Feb 2023 19:22:30 +0000.