Attacco ransomware Regione Lazio, che cosa è successo

L’attacco informatico più grave mai accaduto in Italia: il ransomware che ha colpito il data center di Regione Lazio domenica mattina è stato definito così dal presidente della Regione, Nicola Zingaretti, e ora a distanza di due giorni emergono nuovi dettagli. Come spiegato da Zingaretti in conferenza stampa, l’accesso non autorizzato ai server del data center regionale ha consentito agli hacker di bloccare “quasi tutti i file del Centro elaborazione dati e di prenotazione dei vaccini”. L’attacco è proseguito in giornata e un secondo tentativo, non andato a buon fine, è stato fatto nella notte fra domenica e lunedì.

Si è trattato di un ransomware crittografico, un tipo di minaccia che ormai conosciamo molto bene (da Wannacry in poi, fino al caso recente dell’attacco a Kaseya) e che rende inservibili i file con la cifratura, bloccando di conseguenza applicazioni e servizi. Lo scopo primario, o se non altro il più evidente, è la monetizzazione tramite richiesta di riscatto: in questo caso, come riporta il Corriere della Sera, gli autori avrebbero chiesto 5 milioni di euro in cambio della “liberazione” dei dati. Nel frattempo il sistema di gestione delle prenotazioni dei vaccini covid è rimasto spento per evitare un’ulteriore diffusione del ransomware.

Nel caso dell’attacco alla Regione Lazio, il programma utilizzato sarebbe Lockbit 2.0, nuova versione di un Ransomware-as-a-Service (RaaS) lanciato originariamente nel 2019. La diffusione dei RaaS spiega in parte la grande ascesa e l’efficacia di questo tipo di attacchi: i programmi vengono costantemente aggiornati e migliorati grazie ai contributi di “collaboratori esterni”, i quali poi ricevono una fetta dei guadagni ottenuti dagli autori originari del ransomware. Quest’utlimo può anche essere preso in “affitto”, come un servizio appunto, da altre persone che lo utilizzano per realizzare singoli attacchi. Una formula win-win per i criminali informatici.

Lunedì la Procura di Roma ha avviato un’indagine, guidata dai Pm della sezione antiterrorismo e dal team esperto di reati informatici: tra le accuse a carico di ignoti c’è anche la finalità terroristica. La gravità dell’attacco giustifica questa mobilitazione, considerando che sono stati violati database contenenti informazioni personali e sanitarie di milioni di cittadini. Ai microfoni di Rai3 Zingaretti ha ammesso che dati sensibili sono stati cifrati ma non sarebbe stato sottratto alcun dato relativo ai vaccini e alle richieste di Green Pass. Gli stessi vaccini e Green Pass per i quali nell’ultima settimana la Regione ha ricevuto un vero boom di domande, alla luce delle partenze estive. Ora nel Lazio le richieste di prenotazione sono momentaneamente ferme, mentre proseguono le somministrazioni di vaccini già programmate.

Chi sono gli autori dell’attacco alla Regione Lazio
Non ci sarebbe, tuttavia, alcuna matrice “no-vax” dietro all’attacco, stando alle dichiarazioni fatte ad Ansa da Gabriele Faggioli, Presidente del Clusit, l'Associazione italiana per la sicurezza informatica. “L'idea che ci siamo fatti è che l'operazione si configuri esclusivamente come criminale, non legata ad aspetti di tipo ideologico", ha detto Faggioli. “Non ci sono evidenze di attività di social engineer e phishing, quindi dietro tutta la storia potrebbe esserci una persona che conosce bene i sistemi della Regione, con una consapevolezza tecnica ben specifica. Non sorprenderebbe dunque l'esistenza di una talpa, anche esterna”.

Il sito di Repubblica ha riferito che l’attacco sarebbe partito dalla Russia, e possiamo affermarlo in base a diversi elementi. La maggior parte delle campagne ransomware basate su Lockit sono opera di gruppi criminali russi e il programma è stato ingegnerizzato in modo da poter colpire qualsiasi nazione esclusi i Paesi dell’Europa dell’Est. Inoltre, nel caso specifico dell’attacco alla Regione Lazio, le tracce disseminate dagli autori via proxy e Vpn conducono a ritroso verso la Russia, con passaggi intermedi in Germania e Austria.

Tutta colpa dello smart working?
Un dato emerso in un secondo momento è che la breccia attraverso cui gli hacker si sono fatti strada è lo smart working. Lo si è appreso dalle dichiarazioni di Alessio D’Amato, assessore alla Sanità e integrazione Socio-Sanitaria della Regione Lazio. "Il rischio zero ho imparato che non esiste, hanno colpito in maniera organizzata, programmata, soprattutto in un momento in cui le modalità di smart working hanno abbassato i livelli di sicurezza per loro natura", ha detto D’Amato a Italian Tech.

Secondo Repubblica, il dipendente in questione lavora per Lazio Crea, la società di servizi informatici partecipata della Regione. Una volta entrati, gli hacker sono rimasti nascosti nella rete per due mesi, raccogliendo informazioni per poi colpire nel momento più propizio (che tipicamente è di notte e nel fine settimana, così da ritardare il più possibile la scoperta dell’attacco). “Ciò che è accaduto a noi poteva accadere ad altri”, ha detto D’Amato e in effetti, sebbene questa possa suonare come una giustificazione, è vero che il settore sanitario è sotto la pioggia di fuoco degli hacker da un anno e mezzo.

L’ascesa dei ransomware che colpiscono la sanità
I casi di violazioni andate a bersaglio non si contano. Nel 2020 avevano fatto notizia gli attacchi rivolti all’Agenzia Europea del Farmaco e, oltreoceano, l’attività del ransomware Ryuk ai danni di centinaia di ospedali statunitensi. A maggio di quest’anno, poi, alla lista delle vittime si è aggiunto il sistema sanitario nazionale irlandese (Health Service Executive). Il nostro Paese non fa eccezione: secondo un’analisi di Trend Micro, in Italia così come altrove l’anno scorso il settore sanitario è stato il primo bersaglio di attacchi informatici a base di malware. Nel 2020 più di 21mila malware unici, tra cui oltre duemila ransomware, sono stati diretti verso ospedali, cliniche, aziende e organizzazioni sanitarie italiane.

Una lezione da imparare

“L’attacco informatico alla Regione Lazio è solo l'ultimo di una serie di recenti iniziative pericolose avviate contro la pubblica amministrazione”, ha commentato Paolo Lossa, country sales manager per l’Italia della società di sicurezza informatica CyberArk. “L’impatto è purtroppo simile a quello di altri attacchi di questa natura: tra le diverse manovre attuate, gli attaccanti hanno cercato semplici vulnerabilità da sfruttare per avere un punto d'appoggio, poi si sono concentrati su azioni quali il furto e lo sfruttamento di credenziali privilegiate per poter accedere a sistemi e dati sensibili”.

Come spiegato da Lossa, una volta ottenuto accesso agli account privilegiati i criminali procedono realizzando la “scalata” dei privilegi e poi muovendosi lateralmente in tutta la rete per raggiungere i propri obiettivi. Tutto questo può accadere, a detta di Cyberark, perché molte organizzazioni non adottano alcune best practice basilari ed essenziali per proteggere l'accesso privilegiato. “Il monitoraggio e il controllo dei diritti di accesso e dei privilegi è uno degli aspetti più importanti nel mantenere una postura di sicurezza forte”, ha aggiunto Lossa. “Le organizzazioni hanno bisogno di adottare un approccio ‘assume breach’ per la sicurezza e mettere in atto controlli proattivi per proteggere le loro credenziali più sensibili, le più ricercate per portare a termine gli attacchi con la minima visibilità e tracciabilità”.