Un attacco ransomware rappresenta il blocco totale di un database da parte di uno o più criminali informatici, generalmente con l’obiettivo di chiedere un riscatto alla vittima per decriptare i dati.
Nel panorama delle minacce informatiche, sembrerebbe che non vi sia nulla di particolarmente sofisticato, una volta individuata la natura del problema e attuate le misure preventive e/o di disaster recovery previste dalle policy interne dell’organizzazione coinvolta.
Nel caso della Regione Lazio, ciò che è recentemente avvenuto ai danni della banca dati regionale rientra nella fattispecie tipica dell’attacco ransomware.
Ciò che ha scatenato un vortice di polemiche, soprattutto nell’ambito degli esperti del settore informatico e della tutela della privacy, è stata la modalità di gestione del fenomeno, da parte di una struttura ricca di criticità e depositaria di una mole di dati sensibili, quelli dei cittadini, che è emerso non fossero più custoditi in un forziere sicuro.
Infatti, come è risultato già dai primi riscontri ufficiali, a essere attaccato è stata la piattaforma di prenotazione dei vaccini della Regione Lazio: un nodo cruciale in un momento così delicato di una pandemia ha rappresentato un’attrattiva irresistibile per gli hacker che hanno intrapreso questo tipo di minaccia.
Attacco ransomware alla Regione Lazio: cosa è accaduto
La comunicazione ufficiale dell’attacco ransomware ai danni della Regione Lazio è stata resa nota domenica 1 agosto 2021.
Nelle primissime ore del mattino, la pagina Twitter regionale pubblicava la notizia che era in corso un attacco al Centro Elaborazione Dati della Regione Lazio, a opera di hacker.
Di conseguenza, avrebbero potuto verificarsi disagi, principalmente riguardo alla modalità di prenotazione dei vaccini anti Covid-19.
La notizia è stata deflagrante, anche perché in un periodo particolarmente complesso, in cui la campagna vaccinale sembrava finalmente aver assunto ritmi consistenti, nonostante le difficoltà iniziali, l’attacco ha rappresentato, per molti, un ulteriore macigno, ricco di incognite e interrogativi.
Come è facile immaginare, le reazioni dei cittadini, a vari livelli di conoscenza, non si sono fatte attendere e, nel frattempo, sono emersi i primi interrogativi dei più lungimiranti. Cosa ne sarebbe stato della mole di documenti e pratiche amministrative connesse al database della Regione Lazio?
Il rischio tangibile poteva essere quello di perdere decenni di pratiche, autorizzazioni e concessioni, nel settore edilizio e della gestione dei rifiuti urbani.
La Regione Lazio, inoltre, aveva faticato ad allinearsi con gli standard digitali per la conservazione dei documenti e la loro gestione in formato elettronico, ma sembrava che, nei periodi più recenti, il sistema funzionasse meglio del passato, in particolare per le esigenze sopravvenute in merito alla prenotazione dei vaccini anti-Covid 19.
Come sempre avviene nel caso degli attacchi da parte degli hacker, la Polizia postale si è occupata di analizzare la complessa rete della Regione Lazio.
Gli operatori specializzati hanno individuato una falla all’interno della Virtual Private Network utilizzata per effettuare l’accesso alla rete da un computer remoto.
Si tratta proprio di uno dei numerosissimi varchi usati dai lavoratori in smart working, modalità che ha subito un’espansione esponenziale durante la pandemia e che ha rivelato indubbi vantaggi.
L’attacco ransomware al CED della Regione Lazio, dunque, sarebbe partito da un privilegio acquisito dagli hacker, con relativa agilità.
I soggetti che sono riusciti a intrufolarsi nel sistema informatico regionale, dopo aver intercettato le credenziali di amministratore high level, avrebbero poi bloccato l’intera banca dati, cominciando dal punto più debole, ovvero quello delle prenotazioni per i vaccini.
L’obiettivo era quello di paralizzare non solo il comparto sanitario, incluse le prenotazioni delle visite mediche del SSN e dei servizi specialistici privati erogati all’interno di strutture pubbliche, ma l’intera campagna vaccinale e, in ultima analisi, il complesso delle attività della Regione Lazio.
Il blocco, quindi, si è rivelato da subito di proporzioni epocali e tale da richiedere un impiego massiccio di risorse umane e informatiche, con la prospettiva di una risoluzione in almeno due settimane, in base al parere degli esperti.
Uno degli elementi più eclatanti, emersi in fase di indagine, è stato quello relativo all’ampio utilizzo, da parte di funzionari regionali in interi settori, di dispositivi personali, anche per interagire sui profili social.
Per quanto riguarda gli accessi non autorizzati al network della Regione Lazio, le tracce hanno condotto al pc utilizzato proprio da un impiegato regionale, che vive a Frosinone e sarebbe stato il punto di ingresso dell’attività degli hacker per sferrare l’attacco ransomware.
In base alle ricostruzioni del Nucleo speciale per la cybersecurity i criminali, in questa circostanza, avrebbero usufruito delle credenziali dell’ignaro impiegato per accedere al sistema della Regione.
Oltre a questo, gli hacker avrebbero utilizzato un programma chiamato Emotet, assimilabile a un Trojan Horse in grado di creare un varco e assumere il totale controllo del sistema, con l’obiettivo di effettuare operazioni di alto livello e con privilegi di amministratore.
Ma non è ancora finita, perché un attacco ransomware degno di questo nome prevede il terzo atto, quello più importante: l’inserimento del software di crittografia dei dati e la richiesta formale del riscatto, in cambio dello sblocco.
Fra parentesi, questa procedura costituiva un copione conosciuto, non solo dagli esperti informatici. In questo caso, l’aggravante era rappresentata dalla mancanza di una buona prassi di strong authentication da parte del collaboratore regionale.
Un’autenticazione a due fattori avrebbe potuto evitare l’accaduto, dal momento che per confermare l’accesso al sistema questa procedura prevede l’autenticazione sullo smartphone a seguito della ricezione di una notifica sull’app oppure attraverso un sms.
A completare il quadro della storia che ha visto coinvolta la Regione Lazio era emersa una complicazione non da poco: oltre ai dati era stato crittografato anche il backup dei dati.
Sembrava che la Polizia Postale non avesse nemmeno potuto aprire il messaggio dei criminali informatici, in cui era riportata la richiesta di riscatto.
Gli analisti avevano riscontrato che, oltre a quello compromesso, non erano disponibili altre copie salvate di dati e, in assenza del recupero della chiave, il database non potesse essere ripristinato.
A seguito di tali evidenze, a livello mediatico, di opinione e di esperti del settore si sono scatenate polemiche e, giustamente, il dubbio riguardante l’entità del riscatto.
Fortunatamente, dopo qualche giorno di lavoro, le fonti ufficiali hanno divulgato la notizia che il danno era riparabile, in quanto il backup non era stato cancellato interamente e fosse quindi in grado di essere ripristinato.
Quindi, il 5 agosto l’attività di prenotazione dei vaccini è ripartita quasi a pieno ritmo, con un sospiro di sollievo generale.
Tutte le attività inerenti al sistema informatico della Regione Lazio, quindi, avrebbero potuto riprendere normalmente entro la fine di agosto, stando alle comunicazioni ufficiali.
Perché è stato possibile l’attacco alla Regione Lazio
Il primo interrogativo emerso a seguito della notizia dell’attacco ransomware nei confronti della Regione Lazio è stato: com’è possibile che un’Istituzione così rilevante abbia potuto essere compromessa in questo modo?
Infatti, le misure di sicurezza adottate dovrebbero essere tali da blindare la rete, i dati e i dispositivi connessi.
In questo caso, l’attacco è stato sferrato da un personal computer di un dipendente, che stava lavorando in smart working e che stava utilizzando un dispositivo di sua proprietà.
Il 61enne di Frosinone che, ignaro di quanto stava accadendo, ha fatto da assist all’attacco ransomware, che ha previsto la crittografia dei dati di Erg, una società cliente di Engineering per i servizi di sicurezza.
La tipologia di ransomware, Lockpit 2.0, sarebbe dunque stata una conseguenza dell’accesso alla rete tramite il computer del dipendente, anche se le versioni sono discordi.
In ogni caso, Engineering ha negato un collegamento con l’accaduto e la versione ufficiale, divulgata sulle principali testate giornalistiche, rimane quella del contagio da parte di un malware nei confronti del computer del dipendente della Regione, che avrebbe involontariamente installato il malware aprendo una mail di phishing.
Ciò che emerge, in un accadimento del genere, è l’assenza di adeguate policies di accesso alla rete della Regione Lazio, una mancanza di regole che impostassero una strong authentication per entrare nella VPN, in questo caso da parte di dispositivi di proprietà privata.
Sono state proprio queste criticità nel management dei privilegi a livello regionale a rendere possibile agli hacker raggiungere la rete con credenziali di amministratore dal pc del dipendente, per poi criptare i dati.
Grazie alla fallacità del sistema è stato quindi possibile effettuare un’escalation di privilegi: ma anche questo non ha convinto i sistemisti più esperti, poiché una struttura di security sufficientemente progettata avrebbe dovuto bloccare in anticipo anche questo tipo di attacco.
Infatti, sulle macchine virtuali sembrerebbe più difficile accedere alla rete, anche attraverso un pc temporaneamente connesso: dunque, si tratterebbe di un errore nella predisposizione della sicurezza.
Poiché le fonti ufficiali hanno divulgato, nel corso delle settimane, versioni discordanti, che sembrerebbero in prima battuta derivare da una semplice evoluzione dei fatti, il risultato è un fiume di polemiche e interrogativi, derivanti da quelli che spesso sono sembrati tentativi goffi di districare un groviglio di notizie, più o meno corrispondenti al vero.
I danni dell’attacco ransomware alla Regione Lazio
La crittografia dei dati, in particolare quelli all’interno della macchina virtuali VM-Ware, ha determinato il blocco di applicativi, piattaforme, siti web e dati regionali, a esclusione di database principali e sanitari.
Poiché la Regione Lazio non era dotata di un backup offline, ma solamente di uno online, quest’ultimo era stato stato momentaneamente disabilitato dall’attacco ransomware.
Fortunatamente, visto che non era stato compromesso il backup logico è stato possibile ripristinarlo, ma al momento risultava completamente bloccata la piattaforma relativa alla prenotazione dei vaccini.
Invece, i dati sanitari dei pazienti risulterebbe intatti, come evidenziato dai portavoce della Regione Lazio.
In particolare, il 5 agosto Corrado Giustozzi, informatico e specialista nella sicurezza informatica, aveva annunciato di aver recuperato il backup alla data del 30 luglio e di poter ripristinare il database regionale.
Come annunciato dai portavoce della Regione, infatti, a differenza dei timori iniziali, i dati non erano criptati, ma solamente cancellati. A seguito di questa scoperta, è stato possibile recuperarli, impiegando personale specializzato.
La ragione della mancata crittografia, ma dell’azione di wipe, non è stata ancora del tutto chiarita.
I criminali potrebbero non aver avuto tempo a sufficienza per portare avanti interamente i loro propositi, oppure sussistevano regole tali da impedire la scrittura?
Per la cronaca, per wiping si intende la cancellazione di un programma, di un file o di un database dal sistema, che idealmente finiscono nel cestino ma, nella maggior parte dei casi, possono essere recuperati attraverso azioni idonee intraprese da informatici esperti.
Gli ulteriori danni che potrebbe provocare l’attacco ransomware alla Regione Lazio
Dopo aver analizzato i fatti, così come riepilogati dopo settimane di tweet, articoli in rete, sulle testate giornalistiche e attraverso il parere degli esperti in sicurezza più accreditati, è arrivato il momento di affrontare una trattazione più lucida e che riguarda le possibili conseguenze di un attacco ransonware nei confronti di un’organizzazione complessa come la Regione Lazio.
In questo caso, l’interrogativo riguarda soprattutto cosa sarebbe accaduto agli utenti i cui dati erano custoditi nei database regionali.
Il ripristino in tempi relativamente brevi, infatti, non deve essere interpretato come uno scarico di responsabilità, nel senso che il rischio tangibile è stato quello dell’esposizione di una mole inimmaginabile di dati sensibili dei cittadini alla mercè dei pirati informatici.
Il punto, quindi, è anche quello di comprendere come un attacco potenzialmente disastroso come quello ransomware abbia potuto attecchire nei confronti di un pezzo di Istituzione, la Regione Lazio.
La gravità di un simile fenomeno dipende in larga misura dalla capacità della vittima di tutelarsi e rispondere in anticipo, perché dovrebbe aver adottato le adeguate misure preventive per evitarlo.
In questa circostanza, il sistema ha subito un blocco di alcuni giorni, e le conseguenze sono state relativamente contenute.
Nel caso peggiore, invece, avrebbero potuto verificarsi effetti devastanti.
Inoltre, se le aziende sono spesso costrette a chiudere a seguito di un attacco ransomware, la Regione Lazio non potrebbe fare lo stesso.
Con riferimento ai danni che potrebbero essere occorsi in occasione dell’attacco ransomware del 1 agosto, il Garante della Privacy si è già espresso nei termini di data breach.
In una comunicazione ufficiale, l’AGP ha reso noto che, a seguito di una prima notifica da parte della Regione Lazio in merito a una violazione dei dati, si sarebbe riservata la facoltà di valutare in modo più approfondito le ripercussioni causate, anche alla luce di ulteriori analisi fornite dalla Regione e in base alle azioni concrete messe in atto.
In attesa di una valutazione da parte dell’AGP, viene spontaneo pensare che eventuali sanzioni comminate alla Regione ricadrebbero necessariamente sui cittadini.
Altri attacchi informatici alle Istituzioni: una panoramica
Analoghi attacchi informatici erano stati rilevati, nell’aprile 2021, ai danni dell’ospedale Spallanzani a Roma e San Raffaele a Milano, senza contare che, nell’ultimo mese, sono stati registrati altri 57 attacchi ad aziende private e a partecipazione pubblica.
Considerando che le minacce ransomware sono molto remunerative, la crittografia dei dati per renderli inutilizzabili e chiedere un riscatto si sta diffondendo molto rapidamente.
Per questo motivo, la prevenzione è il principale strumento di difesa, perché in moltissimi casi, quando si realizza l’entità del problema, è troppo tardi per tornare indietro e l’unico modo di recuperare i dati è quello di pagare il riscatto.
Altrimenti, se ciò non avviene, gli hacker minacciano di pubblicare alcuni dei dati criptati, tra i quali ricordiamo che rientrano dati personali di clienti, fornitori, cittadini, pazienti, ma anche progetti in corso di realizzazione, brevetti e molto altro.
Secondo le stime ufficiali, le cifre richieste a titolo di riscatto sono più che raddoppiate nell’ultimo anno e, nel luglio scorso, è stata toccato l’importo record di 70 miliardi di dollari.
La percezione è quella di trovarsi di fronte a un’asta criminale, in cui la posta in gioco è altissima (i dati) e le misure di prevenzione implementate risultano spesso insufficienti o inadeguate al tipo di attività intrapresa dall’organizzazione e/o istituzione.
Oppure, il quadro di misure di sicurezza adottate non risulta completo e non in linea con le direttive vigenti.
In particolare, ricordiamo che gli standard minimi di sicurezza previsti per la Pubblica Amministrazione prevedono l’assicurazione che i supporti che contengono il backup non siano accessibili in modo permanente dal sistema.
Lo scopo è chiaro, perché risulta necessario evitare che eventuali attacchi a danno del dispositivo stesso possano coinvolgere anche le altre copie di sicurezza.
Ma non solo, perché è utile ricordare che la Regione Lazio, a titolo di infrastruttura di tipologia critica, è annoverata nell’ambito della Direttiva Europea NIS, che riguarda la security delle reti e dei sistemi informatici.
In base alla normativa, dunque, i soggetti coinvolti devono soddisfare inderogabilmente determinati parametri di sicurezza e mantenere costantemente alti standard di security, in tutti i processi.
Invece, la piattaforma per la prenotazione dei vaccini si è rivelata piuttosto labile, così come la protezione della rete in generale.
Ciò che, finora, è emerso dall’attacco ransomware sferrato ai sistemi della Regione Lazio, riguarda la necessità, oggi più che mai, di implementare rigide misure di sicurezza per evitare che gli hacker approfittino di ogni possibile falla del sistema.
L’esempio della Regione Lazio fa parte dei più eclatanti, ma ha fatto emergere la consapevolezza che nessuna realtà, più o meno estesa e strutturata, è potenzialmente immune alle minacce informatiche.
Inoltre, sebbene in quest’ultimo caso le conseguenze non sembrano (è il caso di sottolinearlo) così gravi come inizialmente previsto, pensando a una violazione di dati di massa i rischi sono di dimensioni epocali.
Mai come in questo momento storico è necessario prendere consapevolezza di intraprendere adeguate misure di prevenzione nei confronti degli attacchi informatici alla rete, attraverso la consulenza da parte di aziende specializzate nel settore e che, da anni, sono costantemente aggiornate in materia.
Scarica l’ebook “Lavorare in smart working: modelli e tecnologie”
Compara le migliori soluzioni per lo smart working, impara come strutturare il lavoro e i team e migliorare la produttività della tua azienda nella sua prossima trasformazione digitale