emporia

Gli hacker, che hanno paralizzato il sistema informatico della Regione Lazio, si sono pronunciati facendo pervenire la loro richiesta di riscatto per sbloccare il ransomware inoculato nella piattaforma. La notizia è balzata agli onori della cronaca perché riportata dal Tg1 delle 20. La comunicazione in inglese è lapidaria (di seguito in italiano):

Ciao Lazio!
I tuoi file sono stati cifrati.
Per favore non cercare di modificare o rinominare i file cifrati, perché ciò potrebbe provocare pesanti perdite di dati e l’impossibilità di decifrare i file.

Qui di seguito il tuo link personale con tutte le informazioni in merito all’incidente:
xxx link apribile solo con il browser Tor xxx

Per favore non condividere il link per mantenere confidenziale l’incidente.

Chiaramente la forma della comunicazione è di tipo standard, di quelle inviate in massa per attacchi di questo tipo su schema ransomware. Non stupisce la dicitura “Hello, Lazio” perché sono formalismi del tutto automatici sulla base di modelli di mail prefabbricati.

Non ci si dovrebbe inutilmente concentrare su questo, quanto piuttosto che chi l’ha mandato non ha forse ben inteso cosa sia il Lazio e la Regione Lazio. Oppure sì e ha semplicemente usato uno schema di comunicazione standard. E anche il modo di porsi è tipicamente da hacker che dialoga con privati e aziende. A maggior ragione, il gruppo che ha portato l’attacco non è italiano. O, quantomeno, vuole farsi passare come estero.

L’ultimatum è di 72 ore, quindi la scadenza è sabato pomeriggio. Se non è versato quanto richiesto nella comunicazione, è impossibile allo stato attuale prevedere cosa possa accadere. Potrebbe pervenire una richiesta di riscatto ancora superiore, oppure l’attacco potrebbe proseguire in modo più virulento e bloccare ulteriori parti del sistema informatico regionale e non solo.

La questione del backup

È interessante che gli esperti della Regione Lazio non solo si trovino senza una cosiddetta “lifeline” di sicurezza, ossia una forma di backup integrale e ridondante di tutti i database o di una piattaforma di riserva su cui commutare la fornitura di servizi. Nei giorni scorsi, il presidente della Regione Lazio Zingaretti aveva detto che si stavano spostando “tutto in cloud” quantomeno per riattivare le funzioni necessarie e urgenti. Come per esempio il processo di gestione delle prenotazione dei vaccini.

La Regione Lazio si è fatta “bucare” con la password di un pc aziendale usato in smart working e non si è mai premurata di attuare meccanismi di backup allo stato dell’arte e integrali sull’intera base di dati. Questo sta potenzialmente compromettendo i dati personali e privati di milioni di utenti, nonostante le rassicurazioni che sono più di carattere politico che concreto.

Alessio D’Amato, assessore alla sanità, spiega: “Tutti i dati relativi alle oltre 7 milioni di somministrazioni di vaccini eseguite sono in nostro possesso e nessun dato dell’Anagrafe Vaccinale Regionale è stato sottratto, come nessun altro dato sanitario, né del Fascicolo Sanitario Elettronico. Il supervisor della cybersicurezza è il Gruppo Leonardo aggiudicatario di una gara Consip da oltre due anni che, in questa fase, ci sta seguendo nell’affiancamento e nei rapporti con Csirt (Computer Security Incident Response Team). Il timing che ci siamo dati è di far ripartire le prenotazioni dei vaccini e anche tutte le attività dell’anagrafe vaccinale regionale entro 3 giorni. Le attività di somministrazione stanno procedendo regolarmente, negli ultimi giorni sono stati somministrati oltre 94mila vaccini. Per quanto riguarda il rilascio del Green Pass, invitiamo a consultare le modalità sul sito www.dgc.gov.it“.

Alla domanda relativa alla evidente fragilità dei sistema di sicurezza, D’Amato risponde: “I livelli che avevamo sono quelli standard, elevati e certificati. Siamo di fronte a un atto di natura criminale e terroristica”. Non c’è nessuna natura né criminale, né terroristica: è un tipico attacco ransomware derivante dall’incuranza di gestione di un pc fornito per lo smart working. Alzare i toni non serve a coprire le falle, informatiche e strutturali.

L’Fbi nella Regione Lazio

Le dichiarazioni di D’Amato lasciano aperta la porta sul ruolo di Leonardo, che però “non ha mai avuto la gestione operativa dei servizi di monitoraggio e di protezione cyber di Laziocrea”. Leonardo dunque si è occupata “esclusivamente servizi di governance per la progettazione di un Security operation ventre (Soc) per definire processi e procedure nonché supporto per quanto riguarda la normativa sulla protezione dei dati personali. Leonardo sottolinea inoltre che su richiesta di Laziocrea è stata coinvolta, attraverso il Cyber Crisis management team, in operazioni di recovery post attacco”.

Intanto però è stata coinvolta l’Fbi e dell’Europol per coadiuvare gli esperti in loco e per cercare di intavolare una soluzione soddisfacente in merito ai blocchi causati dal ransomware.

Cosa si impara dall’attacco hacker alla Regione Lazio

Paolo Lossa, country sales manager di CyberArk Italia, ha commentato i fatti della Regione Lazio dal punto di vista di un’azienda specializzata in sicurezza e gestione dell’identità. Dice: “L’impatto è purtroppo simile a quello di altri attacchi di questa natura: tra le diverse manovre attuate, gli attaccanti hanno cercato semplici vulnerabilità da sfruttare per avere un punto d’appoggio, poi si sono concentrati su azioni quali il furto e lo sfruttamento di credenziali privilegiate per poter accedere a sistemi e dati sensibili”.

Come è successo che penetrassero nell’infrastruttura di una Regione in modo così semplice?

“Gli hacker che ottengono l’accesso agli account privilegiati sono in grado di elevare i privilegi e muoversi lateralmente in tutta la rete per raggiungere i loro obiettivi. Il focus sull’ottenimento e l’escalation di privilegi costituisce un fil-rouge comune in questo tipo di attacchi, che si rivela drammaticamente efficace. I cyber criminali stanno approfittando dei limiti nell’implementazione di alcune delle ‘best practice’ di sicurezza di base in grado di proteggere l’accesso privilegiato da parte delle organizzazioni pubbliche e private. Questo approccio si sta trasformando in un’epidemia. Il monitoraggio e il controllo dei diritti di accesso e dei privilegi è uno degli aspetti più importanti nel mantenere una postura di sicurezza forte”.

Perché proprio la Regione Lazio?

“Gli attaccanti prendono sempre più di mira le entità che gestiscono grandi volumi di dati sensibili e non è mai stato così fondamentale che le autorità pubbliche applichino strategie adeguate a difendere la propria infrastruttura IT. Gli approcci reattivi o le tradizionali difese di sicurezza che promettono di tenere fuori gli attaccanti non sono semplicemente sufficienti. Le organizzazioni hanno bisogno di adottare un approccio ‘assume breach’ per la sicurezza e mettere in atto controlli proattivi per proteggere le loro credenziali più sensibili, le più ricercate per portare a termine gli attacchi con la minima visibilità e tracciabilità. Piaccia ammetterlo o no, gli hacker potrebbero già nascondersi all’interno delle reti, senza essere individuati, cercando il giusto percorso per accedere ai dati sensibili. Le aziende, gli enti e le organizzazioni di ogni tipo devono adoperarsi con urgenza per rilevare (ed eventualmente chiudere) queste falle”.