Attacco hacker Lazio: cosa insegna a enti pubblici e aziende

Attacco hacker Lazio: cosa insegna a enti pubblici e aziende

Sfruttando un computer compromesso forse da mesi a Frosinone, i criminali informatici hanno messo fuori uso servizi digitali di ogni genere

La notizia ha fatto (giustamente) il giro del globo, scatenando le attenzioni di stampa e agenzie di sicurezza nazionali (FBI in primis). L’attacco hacker alla Regione Lazio, avvenuto nel pieno della campagna vaccinale anti-COVID, ha messo in mostra quanto i sistemi informatici – e i nostri dati – siano costantemente in pericolo. Basta la più piccola delle distrazioni, infatti, per consentire a un gruppo di cybercriminali di accedere a una qualunque rete informatica e ai dati in essa contenuti.

L’attacco, messo a punto utilizzando un ransomware, ha anche evidenziato come nessuno possa ritenersi completamente al sicuro da minacce informatiche. Aziende private, professionisti ed enti della Pubblica Amministrazione (oltre, ovviamente, ai privati cittadini) devono dunque intraprendere un percorso teso a rafforzare le misure di sicurezza informatica, così da rendere quanto più complessa possibile la vita dei criminali informatici.

Ransomware: cosa sono e come funzionano

Stando alle informazioni sinora diffuse da Regione Lazio e inquirenti, l’attacco hacker è avvenuto utilizzando un ransomware, una tipologia di malware salito alla ribalta delle cronache nella seconda metà del 2017. In questo periodo, nell’arco di alcune settimane, decine di aziende e pubbliche amministrazione furono colpite da attacchi conosciuti con il nome di WannaCry e NotPetya, bloccando il funzionamento di intere reti aziendali e provocando danni per miliardi di dollari.

Proteggiamo il nostro sito in WordPress dagli hacker

Ma cosa sono i ransomware e perché sono così pericolosi? Per capirlo basta analizzare il significato di ransomware: la parola è frutto della crasi tra i termini inglesi ransom (riscatto) e software (programma informatico). Si tratta, dunque, di un programma informatico (un malware, nella fattispecie) utilizzato per ricattare gestori di reti informatiche o semplici utenti web.

Il ransomware, infatti, crittografa il contenuto dell’intero disco rigido, bloccando l’accesso ai dati e ai programmi installati. Per ottenere la “chiave di sblocco” si sarà così costretti a pagare il riscatto richiesto dai criminali informatici – in criptovaluta, il più delle volte in Bitcoin – oppure arrendersi all’idea di perdere per sempre le proprie memorie digitali.

Va specificato, inoltre, che esistono diverse tipologie di ransomware. Con il passare degli anni, infatti, hacker e criminali informatici hanno realizzato varie tipologie di “virus del riscatto”, ognuna delle quali adatta a una differente tipologia di attacco. Le più comuni sono:

• Cryptoransomware. Si tratta del virus del riscatto “standard”, solitamente utilizzato per crittografare documenti e file presenti su PC di ignari utenti web;
• Cryptolocker. I locker rappresentano l’evoluzione dei ransomware (una sorta di secondo stadio evolutivo) e bloccano l’accesso anche al sistema operativo e ai programmi installati sul disco. All’accensione, l’utente visualizza una schermata di avvertimento, con un conto alla rovescia che spinge le vittime a pagare il riscatto più in fretta possibile;
• Scareware. Non si tratta di veri e propri crypto o locker, ma dei software che ne imitano il “comportamento” senza però bloccare l’accesso ai dati.
• Doxware o Leakware. In quest’ultimo caso, alla minaccia di bloccare una volta per tutte l’accesso ai dati e alle informazioni presenti sul PC o sui dischi del data center si unisce anche quella di diffondere le informazioni in Rete. Una minaccia che, in alcuni casi, potrebbe essere più pericolosa rispetto alla “sola” perdita dei dati: tra i file, infatti, potrebbero esserci informazioni sensibili e riservate (segreti industriali, dati personali, ecc) la cui diffusione potrebbe compromettere la stessa sopravvivenza dell’azienda.

Attacco hacker Regione Lazio: la ricostruzione

Ora che è chiaro quale sia stata “l’arma informatica” usata dai cybercriminali, possiamo ricostruire (anche se parzialmente) l’attacco hacker subito dai sistemi informatici della Regione Lazio. L’offensiva è partita nella notte tra il 30 e il 31 luglio 2021, sfruttando un PC compromesso di un consulente del frusinate. I criminali informatici sono stati in grado di trafugare diverse password di accesso archiviate nel computer, tra le quali quella di accesso alla VPN (acronimo di Virtual Private Network) della Regione Lazio.

È in corso un attacco hacker al ced regionale. Sono in corso tutte le operazioni di difesa e di verifica per evitare il potrarsi dei disservizi. Le operazioni relative alla vaccinazioni potranno subire rallentamenti. Ci scusiamo per il disagio indipendente dalla nostra volontà.

— Regione Lazio (@RegioneLazio) August 1, 2021

In questo modo i cybercriminali hanno avuto libero accesso all’infrastruttura informatica dell’ente, crittografando i dati presenti nel data center laziale e rendendo inaccessibili diversi servizi ospitati nel cloud. Tra questi, anche quelli legati all’Assessorato alla Salute (come il portale per la prenotazione dei vaccini, ma non solo) e pratiche burocratiche di altri assessorati. La richiesta di riscatto non è stata immediata: gli inquirenti della Polizia Postale hanno intercettato un messaggio nel Deep Web solo alcuni giorni dopo, facendo sorgere alcuni dubbi sulla sua autenticità.

Fortunatamente, i tecnici informatici della Regione Lazio sono stati in grado di recuperare un backup completo dei dati risalente al 30 luglio. Le informazioni non erano state crittografate, ma semplicemente eliminate dal disco: una vera e propria topica da parte degli hacker, che ha permesso di ripristinare la situazione e l’operatività dei servizi inizialmente bloccati.

Il riscatto non è stato ovviamente pagato e, a oggi, sembra che i dati non siano stati messi in vendita nel Deep Web. Insomma, nonostante il timore iniziale l’attacco hacker contro la Regione Lazio sembra essersi rivelato un buco nell’acqua.

L’allarme di Davos sulla recrudescenza dei cyberattacchi globali

Attacco hacker Regione Lazio: le ripercussioni

A pagare le conseguenze maggiori dell’attacco informatico subito dalla Regione Lazio sono stati gli utenti. In maniera particolare coloro che dovevano prenotare il vaccino anti-Covid (o modificare prenotazioni esistenti). La piattaforma è risultata irraggiungibile per diversi giorni, costringendo utenti e sanitari a dover ripiegare su penna e carta, con inevitabili lungaggini burocratiche e conseguenti ritardi.

Anche i dipendenti regionali, ovviamente, hanno dovuto fare i conti con un’infrastruttura informatica non più funzionante. Prima del recupero del backup cancellato, infatti, si credeva che decenni di pratiche burocratiche (concessioni di varia natura, atti di indirizzo e così via) fossero andati irrimediabilmente perduti. Ora sembra, invece, che sarà possibile recuperarne quanto meno una parte, se non la totalità.

Come già accennato, alla richiesta di riscatto comparsa nel Deep Web sembra non essere seguita alcuna reale ripercussione. Nella “parte oscura del web”, infatti, non ci sono tracce riconducibili all’attacco e ai dati dei cittadini laziali. Ipotizzabile, dunque, che i cybercriminali non siano stati in grado di trafugare le informazioni, ma le abbiano semplicemente crittografate. Prima di esserne certi, però, sarà necessario attendere ancora del tempo.

Cosa ci insegna l’attacco hacker alla Regione Lazio

L’offensiva che ha colpito l’infrastruttura informatica dell’ente della Pisana (e, contemporaneamente, alcune aziende italiane) mette in mostra, se ancora ce ne fosse bisogno, di quanto sia ormai importante investire in sicurezza informatica. Aziende ed enti pubblici non devono solamente dotarsi di strumenti utili a combattere tentativi di intrusione, ma devono puntare con forza sulla formazione dei loro dipendenti, qualunque sia il ruolo rivestito.

Spesso e volentieri, infatti, il fattore umano è l’anello debole della “catena” della cybersecurity. Quello sul quale hacker puntano gran parte delle loro fiches nel corso di un attacco. Sfruttando le scarse conoscenze dei dipendenti, o una semplice distrazione, i criminali informatici possono accedere anche alla più protetta delle reti informatiche, impossessandosi di dati sensibili o rendendo inutilizzabili servizi di vario genere.

Sicurezza della posta elettronica: facciamo il punto