Dopo l’attacco hacker di sabato notte condotto con il famigerato Ransomware, la Regione Lazio alza bandiera bianca.
Attacco hacker alla Regione Lazio: cos’è il Ransomware
Vocabolo questo che ormai abbiamo tristemente imparato a conoscere e che ha messo al tappeto il portale informatico per la prenotazione del vaccino anti-Covid 19 laziale, oltre che una serie imprecisata di servizi “sensibili” offerti dal principale degli Enti territoriali italiani, che sono stati prontamente e temporaneamente disattivati per proteggerli “dall’infezione in corso”.
Attacco hacker alla Regione Lazio: le ipotesi più disparate e bizzarre
Mentre il lavoro degli inquirenti prosegue alacremente per accertare le cause e le modalità del cyberattacco (in attesa della richiesta di riscatto presumibilmente arrivata nelle ultime ore – indiscrezione da confermare), sui giornali i titoli a caratteri cubitali iniziano a circolare le ipotesi più disparate e bizzarre, fomentate persino dai politici locali: terrorismo internazionale? No-Vax? Anonymous? I teppistelli della porta accanto? Di fronte a queste fantastiche teorie, persino il più disincantato Pier Luigi Bersani (ex-Segretario PD) avrebbe proferito con la sua colorita espressione: “Ma stiamo scherzando ragazzi? Ma siamo fuori come dei balconi?”.
E mentre qualcuno avanza addirittura teorie cospirazioniste, l’unico e vero dato incontrovertibile è che siamo nuovamente di fronte all’ennesima puntata del più elementare degli errori umani e che deriva, tra le altre cose, da una blanda se non assente formazione individuale sulla sicurezza. Già, quella formazione che ciascuna delle persone (dipendenti e non), che a vario titolo sono abilitate ad operare sui sistemi informatici della Regione Lazio, dovrebbe ricevere preventivamente.
Ma come mai i dati sensibili dei cittadini sono alla mercè di chicchessia, solamente perché non si è pensato ad una infrastruttura informatica solida e con procedure altrettanto sicure, capace di reggere al più ostinato – ma non imprevedibile – degli attacchi del tecnocrimine? Nel prosieguo e definizione dell’accaduto ci saranno vari elementi da spiegare da parte dei vertici dell’Amministrazione regionale, ma non per punire a tutti i costi i responsabili delle inefficienze del “giocattolo informatico” dell’Ente, piuttosto per correggerle e per fare in modo che eventi simili non accadano così facilmente in divenire. Perché potrebbe sembrare banale, ma l’Italia è al quarto posto tra i paesi in Europa più colpiti dai tecnocriminali, i quali sferrano quotidianamente i loro attacchi informatici alla ricerca del più spudorato tra gli exploit. Quindi ci si aspetterebbe un grado considerevole di expertise nei ranghi delle cosìdette “infrastrutture critiche”, ma evidentemente non è sempre così.
Sulla pagina Facebook del Presidente della Regione Lazio, Nicola Zingaretti, si legge: “Nella notte tra sabato e domenica la Regione Lazio ha subito un primo attacco cyber di matrice criminale. Non sappiamo chi siano i responsabili e le loro finalità. L’attacco ha bloccato quasi tutti i file del centro elaborazione dati. La campagna vaccinale prosegue regolarmente per tutti coloro che si sono prenotati. Nei prossimi giorni verranno aperte le prenotazioni dei vaccini per ora sospese. Al momento il sistema è spento per consentire una verifica interna e per evitare il propagarsi del virus introdotto con l’attacco. LazioCrea ci comunica che i dati della sanità sono in sicurezza, così come quelli finanziari e del bilancio. Stiamo migrando su cloud esterni i servizi essenziali per renderli operativi il prima possibile (…) 112, Ares 118, Pronto Soccorso, centro trasfusionale e Protezione Civile sono in sicurezza e stanno erogando i servizi regolarmente. Il Green Pass viene inviato con le modalità consuete, grazie alla collaborazione con l’autorità commissariale. Per quanto riguarda il CUP: stiamo lavorando per rimetterlo in funzione (…) La situazione è grave e seria e abbiamo allertato fin da subito la Polizia Postale e i massimi livelli dello Stato che ringraziamo”.
Dalle parole dell’assessore alla salute della Regione Lazio, Alessio D’Amato, intervistato da Reuters, si evince che l’attacco informatico ha reso necessario interrompere l’operatività del portale di prenotazione del vaccino anti-Covid, proprio per evitare che il virus si diffondesse in maniera incontrollabile a tutti i sistemi informatici del CED. Al momento, aggiunge l’assessore, a causa dell’interruzione dei sistemi IT, è stato possibile condividere solo i dati sui nuovi casi positivi al covid-19, sui decessi e sui ricoveri ospedalieri, in attesa che i tecnici riattivino in sicurezza le nuove prenotazioni.
I funzionari regionali ribadiscono (tutto da confermare) che non c’è stata esfiltrazione di dati sensibili. Ma è altrettanto vero che l’infezione del virus informatico ha anche criptato le copie di backup. Anche da questo sembrerebbe che l’attacco sia stato messo in piedi con criterio, e che dall’altra parte i cybercriminali non abbiano avuto grandi resistenze che ostacolassero il loro operato scellerato.
Ransomware partito da un operatore in smart working
Pare comunque che l’attacco Ransomware sia partito dall’utenza in VPN (Virtual Private Network) di un dipendente della Regione localizzato a Frosinone, dove lo stesso operava da remoto in regime di smart working e da dove si è appurata, inoltre, l’assenza di una procedura di sicurezza standard di accesso al sistema informatico regionale tramite “autenticazione a più fattori”. Questa procedura è oramai utilizzata nella stragrande maggioranza delle aziende complesse. L’identità dell’utente remoto viene di norma verificata in due fasi distinte: identificazione e autenticazione. Nella prima fase l’utente certifica la propria identità al sistema, mentre la seconda si riferisce alla tecnica con cui la sua identità viene verificata. Ma è altrettantto vero che questa tecnica nasconde delle forti limitazioni di sicurezza. “La password, infatti, può essere trascritta e sottratta, smarrita, dedotta, condivisa o dimenticata e non è, pertanto, adatta nei sistemi in cui è necessario avere una ragionevole certezza sull’effettiva identità del soggetto che accede” (Wikipedia). Per far fronte a tali debolezze sono appunto intervenute le tecniche così dette di “Strong Authentication” o autenticazione a più fattori.
I cybercriminali, verosimilmente tramite un Trojan (virus informatico che tipicamente si diffonde via mail al malcapitato sotto forma di allegato e che viene da lui aperto quasi in maniera “inconsapevole”), inizialmente hanno avuto accesso all’utenza del dipendente regionale dove hanno installato comodamente una backdoor. Una backdoor è un metodo tipicamente nascosto per aggirare la normale autenticazione o crittografia in un computer, da cui può essere utilizzato per accedere a informazioni privilegiate come password, corrompere o eliminare dati su dischi rigidi o trasferire informazioni all’interno di reti (cit. wikipedia). Da qui sono poi penetrati nell’intero sistema, fino ad un’utenza con privilegi di amministratore da cui hanno sferrato l’attacco.
Da indiscrezioni apprese da parte di esperti del settore cyber, pare che l’attacco sia stato condotto attraverso “una gang ransomware”, nota come “RansomEXX”. Questa accolita di sfaccendati criminali sarebbe nata in origine sotto il nome di Defray già nel 2018 e poi avrebbe modificato il proprio nome in RansomEXX nel giugno 2020, rivolgendo la propria attenzione alle grandi infrastrutture aziendali violandone i propri sistemi informatici e crittografando i dati, al fine di ottenere guadagni economici attraverso tentativi di estorsione. Tra le vittime più illustri vale la pena ricordare le reti governative brasiliane, il dipartimento dei trasporti del Texas, Konica Minolta, IPG Photonics e l’ecuadoregna CNT.
La presunta notifica di hackeraggio apparsa sui sistemi della Regione Lazio rimanda poi ad una pagina del dark web che potrà essere utilizzata dai funzionari regionali per negoziare un’eventuale richiesta di riscatto con la banda del ransomware, ma che al momento non è chiaro se sia effettivamente arrivata.
Alcuni esperti asseriscono invece che l’attacco in Italia sia stato condotto da LockBit 2.0, ma al momento non ci sono conferme ufficiali nel loro portale dove non è stato pubblicato ancora nulla come ci si aspetterebe che avvenisse.
Altre fonti ancora identificano la Germania come il paese europeo da cui sarebbe partito l’attacco criminale, ma anche questo è tutto da appurare. È noto infatti ai più che negli ultimi anni la maggior parte degli exploit vengono portati avanti dall’Est Europa, e che l’attribuzione geografica della Germania in questo caso come base di partenza dell’hackeraggio potrebbe essere semplicemente frutto di una triangolazione di attacchi sferrati dai server collocati in più paesi.
Gli hackers hanno dunque approfittato di questo particolare momento storico di pandemia dilagante, dove anche l’attenzione delle persone si abbassa inesorabilmente, sfruttando a dovere l’opportunità per i loro guadagni illeciti. Le agenzie di tutto il mondo avevano già messo in allerta l’opinione pubblica dal proliferare incontrollato degli attacchi ransomware, dando le istruzioni basilari su come evitare di essere vittime delle attività criminali degli hackers, ma evidentemente c’è ancora tanto lavoro da fare a monte.
Gli hackers mettono i bastoni tra le ruote al progetto Polaris della Nato