• Off-topicNews

  • Repubblica pubblica lista server colpiti dall'attacco hacker rif. VMWare.

trascrivo le info pubblicate da La Repubblica - da prendere con un pizzico di sale, dato che l'Agenzia della Cybersicurezza (https://www.acn.gov.it/notizie) non ha pubblicato alcun dato, non si capisce come il giornale possa aver avuto la lista, anche perchè facendo una rapida ricerca nessuno della lista ha dichiarato l'attacco.

MILANO - 06 FEBBRAIO 2023 - Ecco l'elenco dei 19 server italiani finiti sotto attacco. Sparsi in tutto il Paese, con una lieve prevalenza nel Centro e nel Sud, e intestati a società per lo più medie e piccole, e poco note. L'elenco ottenuto da Repubblica si basa su informazioni aggiornate alle ore 22 ieri, e ritenute attendibili.elenco dei server italiani colpiti dall’attacco hacker. Ad essere colpiti sono stati server che non avevano eseguito aggiornamenti dal 23 febbraio 2021, data in cui il sistema operativo VMware Esxi era diventato vulnerabile.

Elenco Premi per mostrare Elenco Premi per nascondere

Basiano – Lombardia – Irideos Spa – KPNQwest Italia S.p.a.
Pescara – Abruzzo – Netsons s.r.l. – Netsons s.r.l.
Pozzuoli – Campania – Vodafone
Rende – Calabria – INTERBUSINESS
Lagonegro – Basilicata – Fastweb Networks
Milano – Lombardi – Seflow S.N.C. Di Marco Bramé &C. – Seflow
Mazara del Vallo – Sicilia – Speed-net S.R.L – Speednetsrl
Milano – Lombardia – SoftLayer – SoftLayer Technologies, Inc
Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l.
Arezzo – Toscana – Aruba S.p.A. Network – Aruba S.p.A.
Roma – Lazio – INTERBUSINESS – Sistemi Avanzati srl
Arezzo – Toscana – Aruba S.p.A. – Aruba S.p.A.
Pomigliano d’Arco – Campania – THREEMINDS
Daverio – Lombardia – 11-xDSL-CUST STATIC Aruba S.p.A. Network – InternetONE SRL
Arezzo – Toscana – Aruba S.p.A. Network – Aruba S.p.A.
Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l.
Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l.
Selci – Lazio – StiAdsl srl – StiAdsl
Verona – Veneto – DIGISAT Main.

“A parte il caso dei tre server di Aruba, nessuno di questi nomi, a prima vista, sembra collegabile a gestori di massicce quantità di dati in Italia, né di dati di interesse strategico o particolarmente sensibile” scrive Repubblica. Aruba ha comunque dichiarato che i suoi tre server infiltrati sono “gestiti in totale autonomia da clienti”.

A questi server i criminali informatici hanno chiesto il pagamento di un riscatto pari a 2 bitcoin – pari a circa 39.370 euro – per avere la chiave di decrittazione che dovrebbe consentire ai titolari dei dati esfiltrati di tornare a utilizzarli. “Secondo me pagheranno tutti – ha raccontato a Repubblica un operatore della cybersicurezza che preferisce restare anonimo -, anche perché in qualche caso potrebbe costare di più ripristinare i server. Tra l’altro chi non fa un aggiornamento da due anni potrebbe non avere fatto nemmeno un backup dei dati particolarmente aggiornato, ragione ulteriore per pagare il riscatto”.

    che poi io ero rimasto che

    The virus encrypts small files like .vmdk .vmx but not server-flat.vmdk file

    https://enes.dev/

    quest'elenco di 19 server mi ricordo di averlo visto il giorno dopo l'evento - quindi niente di nuovo

    callfan ah ecco dove l'ho letta - anche la stessa formattazione,,,

      RanieroFas “Secondo me pagheranno tutti –

      probabile , anche se bisogna vedere se dopo aver pagato effettivamente gli viene data la chiave ..

      A volte prima di pagare meglio attendere ..

      https://www.punto-informatico.it/ransomware-esxiargs-script-ripristinare-server/

      I cybercriminali hanno inoltre commesso un errore nella procedura di cifratura dei file. La CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti ha quindi rilasciato uno script per permette di recuperare le macchine virtuali.

        ma Seflow della lista ha a che fare con Pianeta Fibra?

          Esperanza Molto probabilmente sono clienti in collocation che non hanno patchato il proprio server autogestito.
          Stesso discorso per i server dietro AS Fastweb,Vodafone, iridoes e Aruba

          Gli operatori e Datacenter per I propri servizi hanno rigorose procedure e anche firewall davanti alle varie macchine proprio perché evitare questi inconvenienti.

              gandalf2016 mi pareva grave infatti per un operatore.

                RanieroFas occhio che questa lista elenca “i provider” che ospitano i clienti con gli IP vulnerabili… non è l’elenco delle aziende colpite 😉
                Ps probabilmente è banalmente una scansione fatta con shodan.io..

                  Esperanza questa è Snc, quella di Pianeta dovrebbe essere Srl... penso siano due società diverse

                      • [cancellato]

                      • Messaggio #13

                      rudiantoine No, è la stessa, che poi è confluita nel gruppo Aruba.

                          [cancellato] No, è la stessa, che poi è confluita nel gruppo Aruba.

                          Comunque è il server autogestito di un cliente, non uno dei loro. Fra l'altro PF dice di non usare proprio prodotti VMWARE per i suoi server.

                            Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                            P.I. IT16712091004 - info@fibraclick.it

                            ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile