L’attacco informatico in corso alla Regione Lazio da parte di criminali ancora non identificati è partito con un ransomware, un software malevolo che blocca i dati e che di solito porta alla richiesta di riscatto da parte di chi ha attaccato il sistema.
Richiesta che secondo il Presidente della Regione Lazio Nicola Zingaretti, che ha illustrato la situazione in conferenza stampa (parlando di “terrorismo”), non sarebbe avvenuta.
Secondo l’ex Segretario del PD le voci secondo cui era stata recapitata alla regione una richiesta di riscatto in Bitcoin sarebbero “infondate”, probabilmente dovute al fatto che le fonti che le hanno diffuse sono state tratte in inganno dalla landing page (“la webpage del virus”, ha detto Zingaretti) alla quale porta l’avviso di attacco del virus e in cui è contenuto “l’invito a contattare l’attaccante”, ha detto ancora Zingaretti.
Secondo alcune ipotesi il ransomware infatti farebbe parte di una vera e proprio piattaforma acquistabile sul Dark Web (il modello di business è quello dell’as a service), nella quale gli attaccanti hanno a disposizione strumenti per rendere più veloce la richiesta di riscatto e il contatto con l’ente colpito. Se è vero che la richiesta non c’è ancora stata, insomma, lo strumento utilizzato serve in genere proprio a quello.
Già definito il più grave mai avvenuto in Italia, secondo alcune testate l’attacco non riguarderebbe solo la Regione, ma ci sarebbero anche altre organizzazioni colpite dallo stesso virus. Secondo Repubblica, anzi, l’origine della minaccia sarebbe da ricercare in un’azienda che fornisce servizi di amministrazione informatica.
Una questione di tempo?
In ogni caso, da come si sta configurando la situazione, la gravità dell’attacco sarebbe data dalla sensibilità dei dati interessati, più che dalle modalità, che stanno diventando sempre più comuni in tutto il mondo. E che in tutto il mondo nell’anno della pandemia hanno colpito in particolare le organizzazioni sanitarie, alle prese come non mai con la gestione dei dati dei cittadini.
Secondo un’analisi dell’Unione europea delle cooperative (Uecoop) su dati Istat ogni giorno in Italia si verifica una media di oltre 600 reati informatici per un totale che ha superato i duecentomila all’anno. Gli strumenti a disposizione del crimine sul web – evidenzia Uecoop – vanno dall’ormai classico phishing con mail trappola che usano falsi loghi dell’Agenzia delle Entrate, di banche o Poste, per tentare di ottenere informazioni riservate, password e codici di conti correnti bancari o postali alle mail che contengono virus in grado di bloccare l’intero sistema informatico di un’azienda per liberare il quale viene richiesto un riscatto.
Secondo l’annuale report sulla cybersecurity di Ibm, nell’anno della pandemia è cresciuta qualsiasi metrica relativa agli attacchi informatici, specialmente quando si parla di ransomware, di richieste di riscatto e di violazioni dei dati. Le Data breach ora costano alle aziende 4,24 milioni di dollari in media per ogni incidente, secondo l’ultimo Cost of a Data Breach Report. Il costo più alto per singola violazione emerso dal 2004, anno in cui è stato pubblicato il primo report.
Va poi considerato che il settore preferito dai criminali informatici alla ricerca di riscatti è proprio quello sanitario, soprattutto in un anno in cui, tra tracciamenti e vaccinazioni, la quantità di dati sensibili a disposizione della sanità è esplosa.
Il settore sanitario è quello che paga il prezzo di gran lunga più caro, con 9,23 milioni di dollari per incidente – un aumento di 2 milioni di dollari rispetto all’anno precedente.
Quello del ransomware è un rischio talmente elevato per gli attuali sistemi di sicurezza (la sola presenza di password li rende spesso vulnerabili) che si è sviluppata una vera e propria piccola industria per gestirlo: quella dei negoziatori.
Se anche non ci sarà una richiesta di riscatto, va tenuto in considerazione che qualsiasi ente attaccato, quindi anche la Regione Lazio, deve prepararsi ad affrontare il lungo e costoso periodo necessario al contenimento della falla e all’implementazione delle misure di sicurezza necessarie. Secondo Ibm il tempo medio per rilevare e contenere una violazione dei dati nel 2020 è stato di 287 giorni (212 per rilevare, 75 per contenere), una settimana in più rispetto all’anno precedente.
L’ente governato da Zingaretti, insomma, considerata la vulnerabilità delle amministrazioni pubbliche italiane agli attacchi, aveva tutte le caratteristiche giuste per essere l’obiettivo di una richiesta di riscatto virtuale.
Cosa si sa sull’attacco alla Regione Lazio
Quello che si sa, mentre procedono le indagini sull’attacco (e i tentativi di arginarlo) è che il potenziale ‘data breach’ (in attesa che ne venga chiarita la gravità) sarebbe partito dall’estero (sempre Repubblica parla della Germania, anche se la posizione potrebbe essere stata triangolata) e che ha colpito il Ced regionale del Lazio attraverso il computer personale di un dipendente LazioCrea (che gestisce la preziosissima banca dati delle informazioni sanitarie e vaccinali regionali) qualche minuto dopo la mezzanotte di domenica. In queste ore sono in corso le indagini serrate della Postale Postale d’intesa con la Procura di Roma.
Secondo quanto emerso finora l’attacco con ransomware, un malware che solitamente si usa per estorcere denaro, per quanto in questo caso non abbia ancora portato a una richiesta di ‘riscatto’. Inoltre i dati sensibili contenuti nei sistemi non sarebbero stati intaccati dal malware. Sarebbero oltretutto ancora tutti contenuti nei backup del sistema, che però non si riuscirebbe a ripristinare senza ‘risvegliare’ il virus. Secondo un’ipotesi riportata dal Corriere della Sera, il virus potrebbe essere presente anche nelle copie di backup.
Gli inquirenti sono al lavoro e con una prima informativa i magistrati apriranno formalmente un fascicolo dove al momento è ipotizzabile l’accesso abusivo a sistema informatico, ma altre fattispecie potrebbero aggiungersi in base agli elementi che emergeranno dalle indagini. Le indagini puntano a fare luce sull’origine dell’attacco e se questo sia riconducibile in qualche modo alla galassia no vax, un’altra delle voci circolate finora.
“Le vulnerabilità di cui si sta parlando sono molto più presenti di quello che si pensi, la minaccia cyber è diventata di una facilità sconcertante. Tuttavia all’ipotesi della banda di no-vax che mette in ginocchio la rete vaccinale del Lazio non credo. Piuttosto credo si sia trattato di un avvertimento da parte di un gruppo ben più organizzato e serio”. Lo ha detto all’Adnkronos Ranieri Razzante, consigliere per la Cybersecurity del sottosegretario alla Difesa, in relazione all’attacco hacker al sito della Regione Lazio che ha ostacolato la prenotazione dei vaccini online.
“La criminalità vuole far sentire la sua voce, non solo approfittando per introdursi nei mercati degli strumenti di protezione e dei vaccini, vuole far capire di esserci. Questo è un attacco che ha un
effetto-annuncio – incalza l’esperto di cybercrime – Non vedo una regia di ‘sempliciotti’ che si mettono lì e siccome sono contrari al vaccino fanno un attacco. Quello che dice il dirigente della Polizia Postale Nunzia Ciardi sul fatto che la pandemia ha reso più vulnerabile il sistema, è la chiave del tutto e quantomai l’agenzia per i crimini della Rete che sta nascendo dovrà servire a prevenire attacchi su larga scala. Sarà una struttura di affiancamento al sistema impresa, agganciandosi al territorio e proponendo sistemi di protezione anche all’impresa più piccola”.
Le parole di Zingaretti
“La situazione è molto grave in quanto questi attacchi della cybercrime, già avvenuti in altri angoli del mondo, sono molto invasivi e la soluzione è molto complessa”, ha detto il presidente della Regione Lazio Nicola Zingaretti nel corso della seduta odierna al Consiglio regionale del Lazio. ”Di fronte agli attacchi non c’è dubbio che stiamo ricevendo la cosa il segnale più importante da dare è di non interrompere le attività istituzionale dell’Ente”, ha esordito.
“Nella notte tra sabato e domenica – ha spiegato il governatore facendo il punto – la Regione Lazio ha subito un violentissimo attacco cyber da parte di gruppi criminali internazionali o terroristici – saranno le indagini a stabilire i contorni – che ha inserito un ransomware, ovvero un virus che ha criptato il nostro mondo online e ha bloccato la capacità di erogare la gran parte dei servizi alla comunità”.
“Già dalle prime ore dell’alba di ieri sono state allertate tutte le istituzioni investigative del Paese e tutti i livelli di governance per quanto riguarda la cybersecurity del sistema istituzionale nazionale. La società LazioCrea ci comunica che i dati della banca dati della Sanità della nostra Regione sono in sicurezza, salvati e puliti rispetto all’attacco cyber, così come altri dati. La rapina dei dati non è andata in porto. Siamo quindi in una situazione di impegno per riattivare i servizi della salute in primo luogo. La rete è ferma perché appunto la presenza del virus ne impedisce per motivi ovvi la riattivazione del sistema che permetterebbe allo stesso di circolare libero dentro la nostra rete”.
