L’attacco informatico dai danni della Regione Lazio apre scenari allarmanti. Serve un cambio di passo da parte delle Istituzioni, aumentare le precauzioni non basta più
La notte del primo agosto un presunto attacco hacker ha colpito la Regione Lazio, quindici giorni dopo un attacco simile ha cercato di penetrare le difese del sistema operativo della regione Toscana.
Il primo ransomware ha avuto un successo tale da essere stato definito come un atto di guerra. L’assessore alla Sanità del Lazio, Alessio D’Amato, non ha nascosto la sua preoccupazione: «Siamo in guerra, come sotto un bombardamento. Si contano gli edifici che stanno in piedi e quelli che sono crollati (…). Hanno colpito in un momento particolare – continua l’assessore – in un momento di smartworking, quando il livello di attenzione si abbassa. I dati non sono stati violati ma criptati», rendendo inutilizzabili anche i backup. Lo scopo è il ricatto o è stato una catastrofica svista?
72 ore
Per compiere un tale attacco è necessario inviare un ransomware, nello specifico il RansomEXX, omonimo di un gruppo specializzato in attacchi di altro profilo come le reti governative brasiliane, il Texas Department of Transportation, Konica Minolta, IPG Photonics e CNT dell’Ecuador.
Wikipedia descrive un ransomware come un tipo di malware (abbreviazione dell’inglese malicious software, lett. software malevolo) «che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano all’utente di pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro. Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo. Nel giugno 2013, la casa software McAfee, specializzata in software di sicurezza, ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250 mila diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell’anno precedente. CryptoLocker, un worm ransomware apparso alla fine del 2013, ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità».
Seguendo il solco della tradizione italiana, l’attacco, oltre ad aver fatto spegnere le macchine e ritardare la campagna vaccinale, ha scaturito una serie di “scarica barili”. Marco Tulliani, Cyber Security Officer della Engineering, con una breve nota cerca di mettere le distanze dal fatto. «Il 30/7 sono stati identificati tentativi di attività non autorizzate su alcuni sistemi aziendali da parte di una credenziale utente. Le immediate verifiche hanno confermato la non liceità delle operazioni e il non riconoscimento da parte dell’utente di tali tentativi, così bloccati sul nascere. A titolo cautelativo abbiamo immediatamente esteso all’intero gruppo Engineering il doppio fattore di autenticazione alla fine di elevare ulteriormente il livello di sicurezza. L’intervento ha comportato un fermo parziale delle attività nella giornata di oggi, 2 agosto, che si sono risolte con successo nel primo pomeriggio. Tutte le analisi e gli approfondimenti effettuati escludono una correlazione tra quanto descritto e gli eventi che riguardano la regione Lazio».
Intanto, 60 ore dopo l’attacco, i siti erano ancora tutti irraggiungibili. Le indagini sono coordinate dal procuratore capo Michele Prestipino e dal pm Angelantonio Racanelli, collaborano anche Fbi ed Europol e ovviamente la Polizia Postale con l’obiettivo di rintracciare gli hacker e gli IP. Gli Internet Protocol address sono codici numerici utilizzati da tutti i dispositivi collegati a Internet, siano computer, server, stampanti, modem, per poter comunicare in una rete. Si presenta come una sequenza di numeri separati da punti, per esempio 198.128.1.33.
L’attacco non aveva solo lo scopo di congelare l’universo telematico della Regione, rendendo impossibile tra le altre cose prenotare vaccini covid e visite specialistiche, ma ha anche criptato i dati presenti all’interno del sistema. Ma c’è anche una seconda possibilità. Alcuni analisti hanno ipotizzato che l’attacco in realtà non sia stato affatto mirato. La distrazione di un dipendente, che navigando in siti porno o dove si gioca d’azzardo, ha inavvertitamente aperto un popup con il ransomware dentro.
Scenari e responsabilità
Le implicazioni e gli scenari sono molteplici. Nel caso migliore abbiamo perso i dati; nel peggiore gli stessi verranno venduti nel dark web? Parliamo dei dati di 5,8 milioni di persone, tra cui alcune tra le massime cariche istituzionali.
Gli inquirenti, coadiuvati dagli esperti informatici della Polizia Postale, hanno confrontato l’attacco con quelli subiti in passato da altri organi e pubbliche amministrazioni. Secondo le prime indiscrezioni, l’accesso sarebbe avvenuto tramite il computer di un dipendente di Frosinone in smartworking.
Lorenzo Baldarelli