L’attacco hacker ai danni della regione Lazio è avvenuto a partire dalla notte tra sabato 31 luglio e domenica 1 agosto, eppure continuano a susseguirsi dichiarazioni, colpi di scena, smentite e nuove indagini. E balzano agli onori delle cronache sempre nuove notizie, più o meno attendibili, e nuovi tasselli della vicenda.
Vi daremo conto nella seconda parte dell’articolo degli ultimi aggiornamenti su un attacco che il Presidente di regione Nicola Zingaretti non ha esitato a definire “l’offensiva informatica più grave mai avvenuta nel nostro Paese”.
Prima però proviamo a capire, in base ai dati certi che possediamo, come è avvenuto il crimine dal punto di vista tecnico (anzi, tecnologico). E come ha fatto la Polizia postale a scoprire le modalità di accesso dei pirati informatici che hanno messo sotto scacco il Lazio con un attacco hacker.
Attacco hacker alla Regione Lazio: come è iniziato
Venerdì 30 luglio, ore 1.33 di notte. Su un forum frequentato da hacker si inizia a parlare delle chiavi per accedere a una grande quantità di dati di un’importante pubblica amministrazione italiana. Si dice che saranno messi in vendita per 30.000 euro.
La trattativa sul dark web, come si è scoperto nelle scorse ore, è iniziata con la vendita di 795 account: credenziali email, accessi a server e a servizi.
Notte fra sabato 31 luglio e domenica 1 agosto. Nei terminali del sistema informatico della Regione Lazio appare un messaggio in inglese, a caratteri bianchi su sfondo nero. Il testo: “Hello Lazio! I vostri file sono stati criptati. Per favore non cercate di modificarli o rinominarli perché questo può causare una perdita dei dati e un malfunzionamento nel decrittaggio. Qui c’è il vostro link personale con tutte le informazioni che riguardano questo incidente. [segue un link] Non condividetelo se volete che resti riservato”.
Mattina di domenica 1 agosto. Sul profilo Twitter della Regione ecco un cinguettio: “È in corso un attacco hacker al CED regionale. Sono in corso tutte le operazioni di difesa e di verifica per evitare il protrarsi dei disservizi. Le operazioni relative alle vaccinazioni potranno subire rallentamenti. Ci scusiamo per il disagio indipendente dalla nostra volontà”.
Di lì a poco, il governatore Nicola Zingaretti interverrà pubblicamente parlando dell’attacco hacker alla Regione Lazio come del “più grave di sempre contro una pubblica amministrazione”.
Come hanno agito gli hacker
In questi giorni, anche i meno avvezzi di noi alla tecnologia hanno imparato a conoscere la parola “ransomware”. Vediamo che cos’è e cosa c’entra col poderoso attacco hacker al Lazio.
I pirati informatici hanno fatto partire l’azione dalla Germania (inizialmente si era parlato della Russia). Ma si sono appoggiati al pc di un dipendente in smart working che lavora per Lazio Crea, società partecipata che si occupa della gestione del sistema informatico che sovrintende alcune importanti attività della regione. Password trafugata, leggerezza o altro?
Prima è importante capire come hanno agito i criminali. Che hanno appunto utilizzato un ransomware, ossia un malware che blocca un sistema crittografando i dati, e che permette a chi lo ha introdotto nel sistema tramite un file infetto di controllarlo. Inoltre permette di chiedere un riscatto (ransom) per restituirne il comando ai legittimi proprietari, che potranno decrittare i file.
Gli esperti si dividono. Secondo alcuni, il ransomware utilizzato dai criminali è RansomEXX, per altri è LockBit 2.0. C’è chi parla di un’azione combinata dei due ransomware.
Quello che è certo è che l’attacco è stato così profondo da aver criptato anche le copie di backup dei dati. Ma quali dati? Non solo vaccinali e medici, ma anche inerenti una grande quantità di servizi. Sono coinvolti più di 6 milioni di cittadini.
Il dipendente spiato da due mesi
L’attacco hacker alla Regione Lazio avrebbe dunque adoperato il pc di un dipendente in smart working.
In che modo? I pirati informatici hanno sfruttato le chiavi di accesso dell’impiegato, che non erano protette dall’autenticazione a doppio fattore. Sono quindi riusciti a entrare nel sistema con credenziali da amministratore, e hanno scaricato sul computer il software Emotet, per prendere il controllo del pc a distanza. Da lì, l’inserimento del ransomware e la richiesta del riscatto.
L’ipotesi è quella che i criminali siano entrati nel computer del dipendente circa due mesi fa, per poi rimanere silenti fino all’attacco.
La mancanza dell’autenticazione a doppio fattore è un elemento non secondario: la debole protezione della rete Vpn sarebbe da addebitare a Engineering, azienda che gestisce questa rete per la Regione. Torneremo tra pochissimo a parlarvi sia di Vpn che di Engineering.
Il nodo riscatto
Nicola Zingaretti ha sempre fermamente negato che qualcuno abbia chiesto un riscatto.
Eppure in Rete è circolata una mail, scritta in inglese, in cui gli autori dell’attacco hacker al Lazio avrebbero chiesto il riscatto e fissato l’ultimatum a 72 ore. Non è dunque un caso se si sta parlando di terrorismo, e se la Polizia postale è stata affiancata nelle indagini da Fbi ed Europol.
L’intervento della Polizia postale
La Polizia postale ha scoperto la falla analizzando la già citata Vpn. Ovvero la rete virtuale che si utilizza per accedere a un sistema informatico da un computer remoto, esattamente come ha fatto il dipendente di Frosinone in smart working.
Nella sera di giovedì 5 agosto, Zingaretti ha detto che è stata recuperata una copia di backup dei dati sottratti, aggiornati fino al 30 luglio.
In un tweet, l’esperto di cybersicurezza impiegato all’Agenzia per l’Italia digitale Corrado Giustozzi ha scritto che “la Regione Lazio ha recuperato i dati senza pagamento di riscatto. Non decifrando i dati ma recuperando i backup che non erano stati cifrati ma solo cancellati.”
Lazio Crea o Engineering?
Nelle ultime ore si era affacciata l’ipotesi che il computer d’appoggio adoperato dai criminali fosse quello di un dipendente non di Lazio Crea ma di Engineering. Società che, come Erg, ha a sua volta subito un attacco da parte degli hacker.
Ma i vertici di Engineering, azienda che si occupa della trasformazione digitale di aziende e organizzazioni, hanno recisamente smentito ogni ipotesi di coinvolgimento. Con atteggiamento prudente, la Regione Lazio in una nota ha fatto genericamente sapere che l’attacco hacker “è stato portato con le credenziali di un dipendente regionale di Frosinone”.
C’è di più. Al vaglio la possibilità che sia stato il figlio del dipendente a tenere acceso il computer nelle ore notturne. E un grande dubbio riguarda proprio il dipendente: si è trattato di sola imprudenza, o di dolo? Intanto, è stato ascoltato per 3 ore nella questura di Frosinone in qualità di persona informata sui fatti.
Nel frattempo, già da giovedì 5 è tornato online il sito per le prenotazioni dei vaccini anti Covid.
La nota di Engineering
Con una nota stampa appena emessa, Engineering ribadisce la completa estraneità all’attacco hacker alla Regione Lazio. Il testo completo del comunicato: “Engineering, coerentemente con l’approccio di trasparenza adottato dall’inizio dell’ultima ondata di attacchi cyber registrati nel nostro Paese, nella convinzione che sia un fattore chiave per stimolare la cooperazione nella lotta contro il cybercrimine, comunica che dopo la prima informativa prontamente rilasciata in seguito alla registrazione dell’evento dell’ultima settimana di luglio, le approfondite verifiche da subito iniziate, nella notte del 5 agosto hanno permesso di rilevare una possibile compromissione di credenziali di accesso ad alcune VPN di clienti, subito avvertiti individualmente.
Sebbene si ritenga non corrano ulteriori rischi, sono stati invitati ad eseguire il cambio password degli account supportati dai nostri team segnalandoci ogni sospetto di utilizzo inappropriato di nostre credenziali, e lo stesso invito lo stiamo inoltrando in queste ore a tutti i clienti.
Ad oggi non vi è alcuna prova di ulteriori attività rispetto a quelle già note, ma come è dovuto davanti a eventi complessi, proseguiranno ulteriormente le investigazioni su quanto accaduto con il supporto di Kaspersky, leader mondiale in ambito Cybersecurity.
Si ribadisce nuovamente che le ulteriori informazioni riportate sono legate all’evento di cui la Società aveva già dato comunicazione e su cui non c’è alcuna evidenza di un collegamento con quanto avvenuto alla Regione Lazio. Avendo fornito con chiarezza tutti gli elementi chiave per evitare ricostruzioni scorrette e ingannevoli come più volte capitato in questi ultimi giorni, Engineering si riserva di agire in tutte le sedi opportune a tutela della propria immagine e dei propri dipendenti.”
Ultimo aggiornamento: infettati più di 100 PC
Emergono nuovi dettagli sull’attacco hacker ai sistemi informatici della regione Lazio che ha mandato il tilt il sito di prenotazione per i vaccini anti COVID. Secondo quanto rivelato da Il Messaggero, infatti, le indagini hanno rivelato che l’attacco hacker si è sviluppato infettando un centinaio di PC di dipendenti della Regione. Tra i computer colpiti dagli hacker ci sarebbe anche il PC di un amministratore di rete.
Gli hacker hanno effettuato un attacco su vasta scala. Questo è quanto emerge dai primi riscontri della polizia postale che ora sta cercando di seguire le tracce per risalire all’identità dei pirati informatici. I primi dati confermano che gli hacker, per condurre l’attacco ai servizi informatici della regione Lazio, si sarebbero serviti di un server situato negli USA. A tal proposito è già stata chiesta una rogatoria agli Stati Uniti. Gli hacker, però, potrebbero aver fatto partire l’attacco da qualsiasi parte del mondo. Le indagini sulla provenienza degli attacchi continueranno.
I dati non sono in vendita sul dark web (per ora)
Nonostante l’ultimatum sia scaduto, al momento non ci sono riscontri in merito alla possibile vendita dei dati dei cittadini della Regione Lazio sul dark web. La situazione continuerà ad essere monitorata con la massima attenzione per capire quali saranno le prossime mosse degli hacker che hanno sottratto i dati sensibili di quasi 6 milioni di cittadini. Le indagini continueranno nei prossimi giorni.
Fonte:TechPrincess