L’attacco di cyberspionaggio ai danni dei server di posta elettronica di Redmond è ancora in corso: più di 80mila server del mondo risultano ancora esposti. E 3.700 di questi sono in Italia, il quinto paese più colpito
Le vulnerabilità dei sistemi informatici hanno permesso a gruppi di cybercriminali di compiere attacchi di cyberspionaggio su larga scala in tutto il mondo. Alla fine dell’anno scorso la vicenda legata a SolarWinds ha scosso gli Stati Uniti con il più grave cyberattacco mai subìto da un paese e ora, a distanza di qualche mese, le vulnerabilità nei server di Microsoft Exchange aprono un nuovo capitolo con nuove e numerose vittime e milioni di byte di dati trafugati: la notizia, in questo secondo caso, è che l’Italia è il quinto paese più colpito al mondo.
Per risolvere il problema Microsoft ha rilasciato delle Patch e successivamente uno strumento per mitigare gli attacchi ma, secondo Expanse, azienda recentemente acquisita dalla multinazionale americana di sicurezza informatica Palo Alto Networks, solo il 36% degli utenti globali che utilizzano Exchange hanno installato le patch dopo il loro rilascio.
A livello globale, grazie al rilascio delle patch, i server vulnerabili sono passati da 125mila a 80 mila. Tuttavia applicare queste soluzioni non si traduce automaticamente con l’essere al sicuro dai cybercriminali. Questi ultimi, infatti, hanno iniziato a operare diverse campagne zero-day sfruttando le vulnerabilità ben prima che queste venissero risolte e pertanto gli attacchi potrebbero già essere avvenuti, o tuttora in corso.
Secondo l’analisi effettuata da Palo Alto Networks in Italia sono 3.700 i server ancora in pericolo, quelli che non hanno usufruito delle patch o dello strumento di Microsoft per mitigare gli attacchi. A livello globale i più esposti rimangono gli Stati Uniti con 20mila server a rischio, seguiti dalla Germania, che ne conta 11mila. Regno Unito (4.900 server) e Francia (4mila server) precedono l’Italia.
“Siamo vittime eccellenti di questo tipo di attacco, molto pericoloso, perché Exchange è un server di posta molto diffuso da noi, in particolare in aziende medio-grandi, come grosse aziende sanitarie e big dell’energia, dell’industria, delle telecomunicazioni”, ha confermato a Repubblica Pierluigi Paganini, professore al master cybersecurity dell’università Luiss di Roma.
Per quanto riguarda le mani che tirano i fili di questo attacco globale, inizialmente lo sguardo era caduto sul gruppo Hafnium collegato al governo cinese ma, secondo gli esperti, avrebbe partecipato solo alle prime fasi dell’attacco, lasciando poi la scena ad altri cybercriminali. “Questo tipo di attacco di massa farebbe pensare più a cybercriminali comuni che ad attaccanti collegati al governo cinese. Possibile quindi che adesso siano in azione attaccanti che hanno comprato dai cinesi questi strumenti di offesa, che sfruttano la vulnerabilità Microsoft”, ha spiegato sempre al giornale di Largo Fochetti Alberto Pelliccione, tecnico informatico a capo dell’azienda di cybersicurezza ReaQta. La prima fase è durata diversi mesi, nei quali i malintenzionati hanno agito indisturbati, facilitati dal fatto che le vulnerabilità non erano ancora state comunicate da Microsoft e le patch non esistevano.
Leggi anche
Potrebbe interessarti anche