L’attacco hacker alla Regione Lazio: il punto della situazione

È passato più di un mese dall’attacco hacker che nella notte del 31 luglio ha coinvolto il centro di elaborazione dati (CED) della Regione Lazio. Sito non accessibile, servizi non disponibili, sistema di gestione delle vaccinazioni e del green pass inutilizzabile. Per giorni l’entità dell’attacco non è stata quantificabile, l’identità degli autori del cyber attacco sconosciuta e la possibilità di recuperare i dati bloccati a rischio. Si è parlato di “terrorismo”, di un riscatto in Bitcoin e della diffusione di informazioni sensibili nel dark web. Come si può vedere, sono molti i punti non chiari di questa vicenda e, nonostante il passare dei giorni, le informazioni a riguardo rimangono sommarie. Per questo è necessario fare un riepilogo di quanto successo e stabilire, ad oggi, il punto della situazione.

Leggi anche: Data breach di Facebook: cosa è successo e come difendersi.

In principio fu l’attacco ransomware

Quello che è stato chiaro sin da subito è che a colpire i sistemi informatici della Regione Lazio era stato un attacco ransomware cryptolocker. Questo tipo di violazione blocca dati e sistemi delle vittime designate e chiede in cambio un riscatto per sbloccare le risorse in ostaggio. Una pratica sempre più utilizzata dagli hacker, in quanto permette di violare enti pubblici e aziende, ottenendo solitamente pagamenti in criptovalute, con un basso rischio di essere rintracciati e arrestati. Nella maggior parte dei casi, questi attacchi sono compiuti da attori stranieri localizzati in Paesi lontani che saltano da un server all’altro per non essere individuati. Per gli investigatori sono necessarie indagini complesse per poter risalire agli autori degli attacchi, che spesso rimangono impuniti.

Per questo motivo i primi accertamenti si sono concentrati sulle vulnerabilità che hanno permesso l’attacco hacker. Come affermato dall’assessore alla Salute Alessio D’Amato, la violazione avrebbe avuto inizio sfruttando una disattenzione di un dipendente in smartworking di Lazio Crea, società controllata dalla Regione Lazio. Forse l’apertura di un link compromesso o un momento di superficialità ha permesso ai cybercriminali di entrare nel computer dell’impiegato e usare le sue credenziali per infettare un centinaio di altri terminali, tra cui quello di un amministratore di rete. Così facendo, gli hacker hanno colpito in profondità i servizi della Regione, tanto da bloccare non solo quelli essenziali per la campagna vaccinale, ma tutte le attività. Inoltre, l’attacco sembrava aver compromesso l’archivio di backup, con il rischio di perdere anni di dati e di pratiche pubbliche.

messaggio attacco hacker alla Regione Lazio
Il messaggio comparso sui computer della Regione Lazio il 31 luglio. Foto: Bleeping Computer.

I responsabili dell’attacco hacker

Ad oggi, non si conosce l’identità di chi ha commesso l’attacco. In un primo momento, il sito Bleeping Computer aveva pubblicato un articolo in cui indicava il gruppo hacker RansomEXX come l’autore della violazione. L’indirizzo web, presente nel messaggio di riscatto, porterebbe proprio a un sito gestito da questi cyber criminali. Alcuni analisti indipendenti, invece, attribuiscono l’attacco ad un altro tipo di ransomware, Lockbit 2.0. Questo virus sarebbe più sofisticato rispetto a quello usato da RansomEXX, anche se la modalità di violazione rimane la stessa.

Al momento, le autorità non confermano le ipotesi avanzate. Le indagini procedono e ci vorrà del tempo per analizzare le minime tracce lasciate dagli hacker. La pista più accreditata sembra quella russa, almeno seguendo a ritroso il percorso fatto dai cyber criminali, che sono passati anche per Germania, Austria e Stati Uniti. Per questo motivo Polizia Postale, Europol e FBI indagano congiuntamente su quanto successo.  

Leggi anche: Rousseau “bucato”: dall’attacco hacker a quello del Garante?

Le reazioni a caldo: l’attacco terroristico

Nei primi concitati momenti dalla scoperta dell’attacco hacker, le notizie frammentarie che filtravano e le preoccupazioni per il blocco del sistema informatico regionale hanno causato forti reazioni. Per esempio, la dichiarazione espressa dal presidente della Regione Lazio, Nicola Zingaretti: «Stiamo difendendo in queste ore la nostra comunità da questi attacchi di stampo terroristico. Il Lazio è vittima di un’offensiva criminosa, la più grave mai avvenuta sul nostro territorio nazionale».

Parole che trovano fondamento anche nell’indagine del procuratore di Roma Michele Prestipino, il quale ha aggiunto l’aggravante della finalità terroristica al fascicolo aperto per accesso abusivo al sistema informatico e tentata estorsione. Le motivazioni sarebbero da ricercarsi in una matrice ideologica: no-vax che vogliono bloccare la campagna vaccinale, un attacco diretto a danneggiare la Regione Lazio, hacker al soldo di potenze straniere anti-democratiche.

L’analisi degli esperti: il movente economico

Diversi esperti del settore hanno analizzato quanto successo e le modalità utilizzate dai cyber criminali, ridimensionando l’ipotesi dell’attacco terroristico. Per esempio, l’ingegnere Pierluigi Paganini, esperto di cybersecurity e intelligence, ha affermato che «quanto dichiarato dal governatore è dovuto alla gravità della situazione e la misura estrema di disconnettere i sistemi è servita a impedire che la minaccia si propagasse all’interno dell’infrastruttura colpita». Si può, però, circoscrivere la violazione a un attacco informatico con finalità opportunistiche e di estorsione.

La richiesta di un riscatto, all’inizio negata dallo stesso Zingaretti ma poi confermata, avvalla il movente dell’interesse economico. Il quotidiano Open ipotizza che gli hacker abbiano richiesto una cifra intorno ai cinque milioni di euro per sbloccare le informazioni in loro possesso. Tuttora rimangono supposizioni, ma lo schema dell’attacco è molto simile ad altri già avvenuti in passato e in altre parti del mondo, come successo nel maggio scorso con l’oleodotto Colonial Pipeline. Allo stesso modo, la Regione Lazio ha ricevuto una mail di rivendicazione con la minaccia di cancellare quanto bloccato nel giro di qualche giorno, se non fosse stato pagato il riscatto. Stando a quanto affermato dagli organi di stampa, il termine è scaduto senza che ci fossero ulteriori conseguenze, nonostante non siano state soddisfatte le richieste economiche dei cyber criminali.

mail di rivendicazione con il riscatto inviata dagli hacker alla Regione Lazio
La mail di rivendicazione inviata dagli hacker. Fonte: Open

Leggi anche: INPS, il ragazzo diventato admin per caso: «Non ero l’unico a vedere quei dati».

Situazione risolta?

Piuttosto che risolta, sarebbe corretto affermare che la situazione è sotto controllo. Gli hacker sono riusciti a bloccare i sistemi di gestione delle informazioni contenute nei server della regione Lazio, ma non i file di backup, permettendo di recuperare quanto salvato fino al 30 luglio. Gli sviluppatori hanno ripristinato i sistemi informativi da zero, permettendo agli utenti di usufruire dei vari servizi attraverso un sito internet rinnovato. Fortunatamente, la parte riguardante la somministrazione dei vaccini e l’erogazione dei green pass è stata ripristinata, anche se si registra ancora qualche disagio e malfunzionamento.

Queste, almeno, sono le buone notizie. Per quanto non si siano verificati altri problemi alla scadenza del pagamento del riscatto, è anche vero che i dati bloccati dagli hacker potrebbero essere stati copiati e diffusi a pagamento nel dark web o in altri canali secondari per lo scambio di informazioni sensibili. Il quotidiano la Repubblica racconta in un suo articolo che, già prima dell’attacco hacker, erano in vendita le chiavi per decriptare i dati bloccati dal ransomware. È giusto ricordare che in questo periodo storico i dati sono una miniera d’oro e possono essere altamente remunerativi, soprattutto se in grandi quantità.

Inoltre, quanto accaduto dimostra la vulnerabilità a cui sono sottoposti gli enti governativi e privati nel nostro Paese. Come affermato dal ministro Lamorgese in audizione al Copasir, negli ultimi mesi c’è stata una recrudescenza degli attacchi informatici. «È importante intervenire con urgenza per elevare il livello di sicurezza, la resilienza dei sistemi informatici e l’istruzione degli operatori».

Impostazioni privacy