Attacco hacker alla Regione Lazio: ecco cosa è successo

Attacco-hacker-alla-Regione-Lazio

03 Agosto, 2021

Attacco hacker alla Regione Lazio, il ransomware e l’intrusione con la password di un impiegato: ecco cosa è successo

La falla è stata scoperta dalla Polizia postale analizzando la Vpn, la rete virtuale utilizzata per accedere a un sistema informatico da un computer remoto, come quella che hanno sperimentato molti lavoratori in smart working durante la pandemia

ROMA È stata tutta una questione di «privilegi». Di autorizzazioni acquisite - con relativa facilità - da chi è riuscito a introdursi nel sistema informatico della Regione Lazio, dopo aver carpito le credenziali di un amministratore di sistema di alto livello, per colpire sempre più a fondo. Al punto da paralizzare non solo il settore sanitario — e quindi le prenotazioni per i vaccini (ma anche per qualsiasi visita medica, con Cup e Recup) e la stessa campagna vaccinale — ma tutte le attività della Regione. Un blocco totale, senza precedenti, che potrebbe essere risolto, se va bene, in due settimane. A tutt’oggi ci sono interi settori che continuano a operare con funzionari che comunicano con dispositivi e mail personali, e sui loro profili social.

La falla è stata scoperta dalla Polizia postale analizzando la Vpn, la rete virtuale utilizzata per accedere a un sistema informatico da un computer remoto, come quella che hanno sperimentato molti lavoratori in smart working durante la pandemia. Le tracce degli accessi alla Rete hanno portato al computer utilizzato da un impiegato regionale che abita a Frosinone e — stando a quando ricostruito dagli investigatori, che hanno riferito tutto ieri mattina nel corso della riunione del Nucleo speciale per la cybersicurezza — i criminali hanno utilizzato le sue credenziali per entrare nel sistema della Regione. Ma non era abbastanza. Hanno poi usato un software chiamato «Emotet», una sorta di cavallo di Troia che ha creato una breccia e gli ha dato il pieno controllo del sistema per eseguire operazioni più profonde. A questo punto tutto era pronto per il terzo passaggio, il clou dell’operazione, l’inserimento del ransomware, il programma che ha criptato i dati e chiesto il riscatto. Insomma, u na procedura che ricalca un copione già letto favorita però dall’assenza di una procedura di autenticazione a due fattori da parte del dipendente, quella misura che oltre a username e password chiede un secondo modo per confermare la propria identità come per esempio un sms sul telefono o un’app che rilascia un codice.

ATTACCO HACKER ALLA REGIONE LAZIO: COSA SAPPIAMO

   * Bloccate tutte le attività, comprese le vaccinazioni

   * Come funzionano i ransomware e quanto vale l’industria dei cyber sequestri

   * Dati a rischio, così hanno bucato la rete

A complicare la situazione è il fatto che il ransomware in questione è andato talmente in profondità che, oltre ai dati, ha criptato anche il backup, la copia di riserva. Ora riavviando il sistema c’è il rischio di perdere tutto e la Postale non ha potuto nemmeno aprire la comunicazione degli hacker con la richiesta del riscatto che accompagna sempre questo genere di ricatti. Gli analisti hanno appurato che non ci sono altri backup «e pertanto se non si recupera la chiave non potranno essere ripristinati». Un classico nel mondo dei ransomware che colpiscono tutti i file che incontrano proprio per costringere la vittima a pagare. In caso contrario l’intero sistema rimane inutilizzabile. Al momento comunque si sta lavorando per eradicare il virus «prima del ripristino dell’attività» anche se non si è sicuri che questa operazione basti a far tornare tutto come prima. Difficile invece stabilire l’entità del riscatto ma in genere chi progetta ransomware studia attentamente la propria vittima per trovare una «cifra equa», per così dire, in base al suo fatturato. Più l’obiettivo è ricco più viene richiesto.

Analoghi attacchi informatici sono stati scoperti nell’aprile dello scorso anno al San Raffaele di Milano e allo Spallanzani di Roma, ma solo nell’ultimo mese ce ne sono stati altri 57 in varie aziende. Negli ultimi tre anni peraltro i ransomware hanno avuto un’impennata in tutto il mondo. Sono silenziosi, efficaci e molto remunerativi. Ci si accorge della crittazione solo quando tutto è ormai perduto e in genere le vittime, principalmente le aziende, pagano. In caso contrario infatti i criminali minacciano di rendere pubblici alcuni dei dati che hanno criptato tra cui possono esserci dati sensibili dei clienti, brevetti, progetti in sviluppo. Solo nell’ultimo anno le richieste di riscatto medie sono raddoppiate e in luglio scorso è stata raggiunta la cifra record di 70 milioni di dollari con un solo attacco. Tutti da pagare in bitcoin ovviamente, la valuta anonima che corre da un portafoglio virtuale all’altro senza fare rumore. Proprio come un ransomware .

Fonte: https://www.corriere.it/cronache/21_agosto_03/attacco-hacker-lazio-vpn-5d4eb07e-f420-11eb-9680-9b12a81aa8eb.shtml

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *