Colpa di un Ransomware. C’è il denaro e non l’ideologia all’origine di quello che è stato definito “un attacco senza precedenti”.

Nessuna motivazione ideologica e nessuna rivendicazione di Anonymous et similia, ma semplice pecunia. Dietro all’attacco hacker che ha messo fuori uso i siti della Regione Lazio (compreso quello per la prenotazione dei vaccini) c’è un “semplice” ransomware con conseguente richiesta di riscatto.

Verso le 10 di domenica mattina, un Tweet della Regione Lazio rendeva noto che i propri sistemi erano sotto attacco; si è poi saputo che l’attacco era iniziato nella notte precedente mentre l’assessore regionale alla Sanità, Alessio D’Amato, dichiarava a caldo: “Questo è un attacco hacker molto potente, molto grave, è tutto out, è sotto attacco tutto il ced regionale. Ed è un attacco senza precedenti per il sistema informatico della Regione. Le procedure di registrazione possono subire rallentamenti. Sto andando a fare un sopralluogo per verificare la situazione”.

Intanto anche il Presidente della Regione, Nicola Zingaretti, scriveva su Facebook: “Da stanotte è in corso un pesantissimo attacco hacker contro i sistemi informatici LazioCrea che gestiscono prenotazioni vaccini. Un fatto gravissimo, blocca un servizio fondamentale”. Nonostante l’attacco tutte le 50mila persone che avevano già prenotato la loro dose hanno potuto recarsi presso i centri di somministrazione e, come si legge nel tweet della Regione, fino al 13 agosto gli oltre 500mila cittadini già prenotati non subiranno disagi.

Dopo ore di lavoro, la Polizia Postale ha ricostruito le fasi iniziali dell’attacco.

Analizzando la VPN con la quale i dipendenti della Regione e di LazioCrea accedono al sistema informatico da un computer remoto, la Polizia Postale ha identificato il computer utilizzato da un dipendente di Lazio Crea di Frosinone che risulta essere la porta di accesso per gli hacker. Scoperte le credenziali di amministratore del dipendente, i cybercriminali hanno sferrato l’attacco che sarebbe partito dalla Germania anche se molto probabilmente si tratta di un “depistaggio” per non consentire l’identificazione del luogo di origine dell’attacco (in ogni caso l’identificazione chiara del punto di partenza di un attacco non è mai facile e difficilmente avviene in poche ore).

Una volta avuto l’accesso ai sistemi, i cybercriminali avrebbero introdotto il trojan Emotet, con il quale hanno avuto il pieno controllo dei sistemi, per poi installare il ransmoware che ha criptato i dati.

Ma come sono riusciti i cybercriminali a carpire le credenziali del dipendente di LazioCrea? La risposta non è facile.

Quello che comunque sembra evidente è l’assenza della procedura di autenticazione a due fattori da parte dei dipendenti in smartworking che accedevano tramite VPN. In ogni caso i criminali informatici che hanno sferrato l’attacco hanno lavorato molto bene e trovare tracce di questa fase non sarà facile.

Alle indagini, svolte dagli esperti di altissimo livello della Polizia Postale, collaborano agenti dell’FBI e dell’Europol.

Nessuna intenzione di pagare il riscatto

Per quanto riguarda il riscatto, nella notte tra sabato e domenica, sui computer connessi ai sistemi della Regione Lazio è apparso questo messaggio (classico sfondo nero con caratteri bianchi, vedi foto): “Hello Lazio! I vostri file sono stati criptati. Per favore non cercate di modificarli o rinominarli perché questo può causare una perdita dei dati e un malfunzionamento nel decriptaggio. Qui c’è il vostro link personale con tutte le informazioni che riguardano questo incidente. Non condividetelo se volete che resti riservato”.

Il link non è stato cliccato, ma gli esperti, per analogia con altri attacchi simili, affermano che la richiesta potrebbe ammontare a 5 milioni euro che il presidente Zingaretti ha affermato con forza di non avere alcuna intenzione di pagare.

Qual è il danno provocato dall’attacco alla Regione Lazio?

Ma qual è il danno provocato, oltre all’enorme disservizio dovuto ai siti bloccati (ricordiamo che tra questi c’è anche quello del Consiglio Regionale, con inevitabili impatti sull’attività politica regionale)? Anche sulla quantificazione del danno non ci sono notizie certe, sempre l’assessore D’Amato ha dichiarato : “I tecnici sono al lavoro per riattivare in sicurezza anche le nuove prenotazioni e nessun dato è stato trafugato. Siamo in contatto costante con la struttura commissariale per garantire agli utenti che si vaccinano di avere il green pass secondo le consuete modalità”. E Zingaretti ha detto che “nessun dato sanitario è stato rubato e i dati finanziari e del bilancio non sono stati toccati”.

Le dichiarazioni rassicuranti “a caldo” sono però molto generiche (ma per il momento forse non si può pretendere molto di più) e non indicano quali sono le misure messe in atto dalla Regione per mitigare il rischio di violazione dei dati sanitari, quindi estremamente sensibili, dei cittadini.

In un primo tempo sembrava che anche il backup dei dati fosse stato criptato, invece in queste ore la Polizia Postale è riuscita a estrarre i dati di backup.

Dovremo aspettare le prossime ore per valutare realmente il danno, per sapere se davvero i dati non sono stati violati e se la Regione Lazio, i cui sistemi rientrano tra le infrastrutture critiche del Paese, ha messo in atto un piano di risposta adeguato in caso di attacchi di questo tipo, come previsto dal Framework Nazionale per la Cybersecurity.

Quello che è certo è che al momento il disagio per i cittadini della Regione è molto alto: fino ad oggi erano sospesi tutti i processi relativi alle vaccinazioni Covid 19 (prenotazioni dopo il 13 agosto, rilascio del Green Pass ecc.) e non sono ancora riprese le prenotazioni per le altre prestazioni sanitarie.

fonte: Patrizia Fabbri Giornalista, Direttore responsabile ZeroUno