Due parole sull’attacco informatico “terroristico” alla Regione Lazio



[ZEUS News - www.zeusnews.it - 05-08-2021]

ransomware lazio

Ho aspettato un po' a scrivere di questa vicenda per lasciare che si depositasse il polverone delle dichiarazioni politiche e cominciassero a emergere i fatti tecnici. I fatti sono ancora pochi, comunque, ed è piuttosto evidente a questo punto che non c'è alcuna intenzione delle autorità di fare piena chiarezza sulla vicenda. Prendete quindi queste poche righe con beneficio d'inventario.

Quello che si sa per certo, finora, è che i servizi informatici della Regione Lazio sono offline da domenica 1 agosto. Secondo la ricostruzione de Il Post (anche qui), un ransomware ha colpito il centro elaborazione dati (CED) che gestisce tutta la struttura informatica regionale e i tecnici hanno pertanto disattivato il CED.

Questo ha portato quasi alla paralisi tutti i servizi regionali che dipendono dal CED, fra i quali spicca il servizio di vaccinazione contro il Covid (che sta procedendo lentamente usando un sistema cartaceo ma ha le prenotazioni bloccate).

Il presidente della Regione Lazio, Nicola Zingaretti, ha parlato di difesa contro "attacchi criminali o di stampo terroristico" (sottolineo "o"), ma ANSA ha inventato un virgolettato che gli ha messo in bocca una certezza sullo stampo terroristico che di fatto Zingaretti non ha espresso (perlomeno nello spezzone video riportato nel tweet di ANSA).

I giornali generalisti italiani si sono lanciati in narrazioni che per pietà mi limito a definire fantasiose, per cui non è opportuno considerare affidabile qualunque affermazione informatica scritta da queste testate e conviene rivolgersi solo a fonti tecniche qualificate.

Per quello che è dato sapere fin qui, non c'è nessuna evidenza di un attacco di stampo terroristico: sembra invece trattarsi di un classico attacco criminale, effettuato a scopo di estorsione. Un tipico ransomware, insomma, di quelli che colpiscono tutti i giorni tante aziende: i dati vengono cifrati dai criminali, che poi chiedono il pagamento di un riscatto per avere la chiave di decifrazione. Stavolta il bersaglio è un po' più grosso e il danno è molto più visibile.

L'ipotesi del terrorismo informatico è altamente improbabile perché un attacco a fini terroristici avrebbe semplicemente cancellato i dati invece di cifrarli, come ha giustamente fatto notare Stefano Zanero, professore associato di Computer Security al Politecnico di Milano.

Ieri è stato diffuso uno screenshot, parzialmente oscurato, che mostrerebbe l'avviso del ransomware, con un link a una pagina del dark web da usare per la trattativa con gli esecutori dell'attacco:

regione lazio

Secondo BleepingComputer, il link alla pagina è collegato a un gruppo di criminali informatici noto come RansomEXX, che ha già preso di mira grandi aziende in vari paesi del mondo, e la tecnica di attacco del gruppo consiste nel violare le difese di una rete aziendale usando delle vulnerabilità o delle credenziali rubate, per poi scorrazzare nella rete rubando o cifrando file e prendere il controllo del domain controller Windows per diffondere il software di cifratura su tutta la rete.

Gli attacchi di ransomware di solito agiscono su due fronti fondamentali di monetizzazione: la minaccia di bloccare l'attività della vittima e la minaccia di disseminare i dati custoditi dalla vittima (con conseguenti disagi e danni). Zingaretti ha dichiarato che "nessun dato sanitario è stato rubato e i dati finanziari e del bilancio non sono stati toccati" (Il Post), ma è decisamente troppo presto per essere così categorici.

Per ora, quindi, le domande superano ampiamente le risposte.

Come è stato possibile un attacco del genere? Secondo le informazioni pubblicate da Open, l'attacco sarebbe iniziato prendendo di mira un PC di un dipendente di Lazio Crea, "società controllata dalla Regione, in smartworking a Frosinone. Per entrare nel sistema, come hanno spiegato fonti della polizia postale a Repubblica, i pirati hanno bucato Engineering SPA [sic], la società specializzata in servizi informatici che lavora con molte amministrazioni pubbliche [...] Da lì hanno ottenuto le credenziali dell'impiegato di Lazio Crea, che aveva i privilegi di amministratore. Hanno inserito il ransomware nel sistema informatico ed è partita la copia dei file." Uno schema assolutamente classico, insomma. Engineering SPA (in realtà Engineering Ingegneria Informatica S.p.A.) ha però preso posizione su questa ricostruzione degli eventi.

[...] With regard to alleged theories in circulation insinuating a possible correlation between the blocked attack attempt and the hacker attack suffered by the Lazio Region between the night of  31st July and 1st August, please note that the analysis and detailed investigation swiftly carried out exclude any links between the two events (the Region has confirmed the attack started with the hacking of a smart-working employee).

Please also note the Engineering Group does not manage any of the Region's infrastructures subject to cyber-attacks, whose dynamics are yet to be fully clarified by the competent authorities. [...]

Non si possono ripristinare i dati da un backup? Non è così semplice. Come regola generale, prima di tutto bisogna assicurarsi che la rete informatica sulla quale si va a ripristinarli sia pulita e non contenga ancora il ransomware, altrimenti è tempo sprecato. Occorre quindi ripulire la rete oppure crearne una nuova vergine (cosa non facile per sistemi informatici grandi e complessi come un CED regionale). Poi bisogna avere un backup, e questo backup deve essere recente e pulito. Ma a quanto risulta dalle dichiarazioni di un assessore della Regione Lazio, almeno parte dei backup era tenuta in linea e quindi sarebbe anch'essa cifrata. Un altro errore classico. Tenere offline un backup integrale di grandi database non è semplice, certo, ma non farlo è una negligenza imperdonabile.

Come si possono evitare disastri del genere? Anche questo non è facile, ma i passi da compiere per ridurre la possibilità che accadano sono ben conosciuti:

  • ridurre la superficie di attacco, per esempio togliendo gli accessi privilegiati a chi non ne ha strettamente bisogno (in smart working o meno) e dandoli soltanto a chi ha macchine molto protette e non usate in modo promiscuo (no, il PC del dirigente sul quale guarda il sitarello porno o i film piratati non deve avere accesso privilegiato alla rete aziendale);
  • predisporre una procedura di backup (che va collaudata e testata) che offra il massimo isolamento fisico possibile;
  • predisporre un piano di disaster management per sapere cosa fare se (anzi quando) un attacco va a segno e in base a quanto va a segno;
  • avere un piano di comunicazione chiaro e trasparente.

Fra queste soluzioni, noterete, è vistosamente assente qualunque accenno a grandiosi piani di "cloud nazionale". Perché "cloud nazionale" in politichese si traduce "pioggia di soldi per gli amici", ma in informatica si traduce "single point of failure". E se qualcuno ha bisogno che gli si traducano queste parole inglesi, tenetelo lontano da qualunque decisione informatica.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (ultimi 5 di 25)

{murdock}
Concordo, il backup "sincronizzato" e quello offline hanno finalita' diverse. Mi chiedo come siano stati inseriti nel piano di disaster-recovery e come verra' gestita questa negligenza secondo il GDPR.
15-8-2021 12:48

Concordo! Il backup on line - magari in real time - è assai utile ma non deve assolutamente essere l'unico backup disponibile e non deve sostituire un backup offline fatto giornalmente.
14-8-2021 18:55

ci sono validi motivi per tenere dei backup ANCHE in linea - il problema si crea quando questi sono AL POSTO dei backup fuori linea...
13-8-2021 16:16

Quello che mi ha colpito di più nell'articolo è questo: Fosse vero, non ci sarebbero limiti alla loro incompetenza. Leggi tutto
12-8-2021 14:27

Be', il livello intellettuale sempre quello è... :lol: :lol: Leggi tutto
11-8-2021 22:59

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Il flop di Windows 8 sembra replicare tristemente quello di Vista e c'è chi comincia a sostenere che Microsoft sia ormai sulla via del declino, dopo aver mancato clamorosamente il successo anche nei telefonini, nei tablet e nei dispositivi embedded.
Windows 8 è perfettamente stabile, facile da usare e non richiede hardware particolare: non è affatto un flop e Microsoft non è in declino.
La qualità del software Microsoft è in calo da anni: mancano soprattutto in visione e in integrazione. Stanno spingendo su troppi fronti, perdendo di vista la qualità complessiva.
Ognuno deve fare bene il proprio mestiere e basta. Microsoft si concentri su Windows, lasciando perdere Zune e tutto il resto; Google insista sui motori di ricerca, non sui social network, la mail o gli occhialini.

Mostra i risultati (6546 voti)
Marzo 2023
CorePC: una versione di Windows leggerissima, modulare e più sicura
iPhone 15, addio alle SIM anche in Italia?
Hyundai: i touchscreen nelle auto sono pericolosi
Windows 11, ancora SSD lenti dopo l'ultimo aggiornamento
La IA entra in Gmail e nei Documenti di Google
Samsung beccata a barare sulle foto della Luna
Perché c'è una fotocamera negli scanner dei supermercati?
Il primo datacenter lunare sta per aprire i battenti
Amazon chiude 8 negozi “senza commessi”
Meta inietterà la IA in WhatsApp, Facebook Messenger e Instagram
Febbraio 2023
Intelligenza artificiale: il programmatore pericoloso
SPID a rischio, due mesi per deciderne il futuro
L'UE vara il Portafoglio per l'Identità Digitale
Sfida su TikTok costringe ad aggiornare 8 milioni di auto
Windows 11 è praticamente uno spyware
Tutti gli Arretrati
Accadde oggi - 1 aprile


web metrics