Attaque Hacher, ce qui s'est passé (pas seulement en Italie). Faits et idées
Une "attaque massive utilisant un ransomware déjà en circulation" a été détectée par l'équipe italienne de réponse aux incidents de sécurité informatique de l'Agence nationale de la cybersécurité. Les techniciens d'ACN ont déjà relevé "plusieurs décisions de systèmes nationaux probablement compromis et alerté de nombreux sujets dont les systèmes sont exposés mais pas encore compromis". À l'heure actuelle, il existe quelques milliers de serveurs compromis dans le monde entier, depuis des pays européens tels que la France – le pays le plus touché – la Finlande et l'Italie, jusqu'à l'Amérique du Nord, le Canada et les États-Unis.
Voici tous les détails.
CE QUE L'AGENCE DE BALDONI DIT AU SUJET DE L'ATTAQUE DE HACKER
"L'équipe italienne de réponse aux incidents de sécurité informatique (Csirt-IT) de l'Agence nationale de la cybersécurité (ACN) a détecté une attaque massive de "pirates" via un ransomware déjà en circulation ciblant les serveurs VMware ESXi".
La même agence l'a fait savoir, ajoutant que l'attaque est en cours dans le monde entier et concerne "quelques milliers de serveurs compromis" "de pays européens comme la France – le pays le plus touché – la Finlande et l'Italie, jusqu'à l'Amérique du Nord, le Canada et aux Etats-Unis".
En Italie – explique l'ACN – il existe des dizaines de réalités qui ont rencontré des activités malveillantes à leur encontre, mais selon les analystes, elles sont destinées à augmenter. L'exploitation de la vulnérabilité permet dans une phase ultérieure de mener des attaques de ransomware qui, comme on le sait, chiffrent les systèmes affectés les rendant inutilisables jusqu'à ce qu'une rançon soit payée pour la clé de déchiffrement.
EN FRANCE L'AGRESSION EST NÉE
La vulnérabilité exploitée par les attaquants pour distribuer le ransomware a déjà été corrigée par le fournisseur dans le passé, mais tous ceux qui utilisent les systèmes actuellement affectés ne l'ont pas corrigé. Les serveurs ciblés, s'ils ne sont pas patchés, c'est-à-dire les "correctifs" appropriés, peuvent ouvrir les portes aux pirates engagés à l'exploiter dans ces heures après la forte croissance des attaques enregistrées au cours du week-end. Les premiers à s'en apercevoir ont été les Français, probablement en raison du grand nombre d'infections enregistrées sur les systèmes de certains prestataires en France.
Les chercheurs en sécurité signalent une explosion des compromissions de l'hyperviseur VMware ESXi avec plus de 500 machines affectées par un ransomware ce week-end, avec des attaques tirant parti de CVE-2021-21974.
LE NUAGE FRANÇAIS DANS L'ŒIL DU CYCLONE
Comme publié par The Stack , environ 20 machines ESXi étaient touchées toutes les heures , en utilisant les données mises à disposition par Shodan qui montraient que la majorité de ces machines étaient hébergées par OVHcloud. Mais la portée s'étend rapidement.
Les clients français semblaient initialement les plus durement touchés et le CERT-FR du pays a été parmi les premiers à émettre une alerte.
La société française OVHcloud a déclaré le 3 février : « Une vague d'attaques vise actuellement les serveurs ESXi. Cependant, aucun service géré par OVHcloud n'est concerné par cette attaque, comme de nombreux clients utilisent ce système d'exploitation sur leurs serveurs, nous fournissons ce post comme référence pour les aider à les résoudre."
HACKER ATTACK, CE QUI SE PASSE EN ITALIE
Par la suite, la vague d'attentats s'est déplacée vers d'autres pays, dont l'Italie.
L'autorité nationale de sécurité de l'information rappelle dans la note "qu'il est prioritaire pour quiconque de colmater les failles identifiées et d'élaborer une stratégie de protection adéquate". Selon les techniciens d'ACN, en effet, « nous avons pu recenser plusieurs dizaines de systèmes nationaux probablement compromis et alerter de nombreux sujets dont les systèmes sont exposés mais pas encore compromis. Cependant, il existe encore des systèmes exposés et non compromis qui ne peuvent pas être retracés jusqu'à leur propriétaire. Ceux-ci sont appelés immédiatement à mettre à jour leurs systèmes ».
La vulnérabilité identifiée par des analyses récentes comme CVE-2021-21974 (déjà corrigée par l'éditeur en février 2021), concerne des systèmes exposés sur internet qui proposent des services de virtualisation basés sur le produit VMWare ESXi, et a un impact élevé, estimé par le communauté comme « à haut risque/orange » (70,25/100). Et pourtant, il n'est pas exclu que d'autres vulnérabilités puissent également être exploitées par des acteurs malveillants.
À cet égard, l'Agence nationale de la cybersécurité dirigée par Roberto Baldoni , par l'intermédiaire du CSIRT Italie, a publié hier un bulletin spécifique sur le portail public https://csirt.gov.it, qui comprend également les procédures de résolution de la vulnérabilité, à laquelle le les responsables techniques des services informatiques publics et privés sont invités à s'y référer.
COMMENTAIRE DE FLORE
L'attaque HACKER d'aujourd'hui et la DÉSINFORMATION dans les médias.
J'ai lu des déclarations franchement embarrassantes de "journalistes" et "d'agences", alors essayons de clarifier au milieu des cris alarmistes : down of providers et Ransomware.
– Matthew GP Flora (@lastknight) 5 février 2023
Cet article est une traduction automatique de la langue italienne d’un article publié sur le magazine Début Magazine à l’URL https://www.startmag.it/cybersecurity/come-e-dove-e-nata-laggressione-hacker-tutti-i-dettagli/ le Sun, 05 Feb 2023 19:22:30 +0000.