Attacco hacker Regione Lazio: il parere degli esperti di cybersecurity

Difficile sapere cosa sia successo nell’attacco hacker che ha bloccato il sistema di prenotazione vaccinazioni. Per capirne di più abbiamo intervistato due esperti di cybersecurity, che ci hanno spiegato quanto sia difficile trovare i colpevoli e cosa è successo ai dati.

Venerdì 6 Agosto 2021

linkedin
cybersecurity

Lo scorso 2 agosto ha fatto molto scalpore l’attacco hacker avvenuto alla Regione Lazio. Con un post su Facebook infatti la stessa regione ha affermato che era “in corso un potente attacco hacker al ced regionale” e che “i sistemi sono tutti disattivati, compresi quelli al portale Salute Lazio e della rete vaccinale”. In sintesi non solo sono stati messi a repentaglio i dati di milioni di utenti ma, per un periodo di tempo quantificato in 72 ore, non è stato possibile prenotarsi per il vaccino del Covid-19.


Una situazione complessa che si è subito cercato di risolvere, anche tranquillizzando gli utenti: “I dati finanziari e i dati del bilancio non sono stati toccati” si è affrettato ad affermare il Presidente della Regione Nicola Zingaretti. Dalle prime indiscrezioni trapelate sembra che siano stati criptati i dati presenti nel sistema sebbene dalla Regione hanno fatto sapere che nessun dato sensibile è stato trafugato. Difficile capire cosa sia successo, chi sia stato e perché, per quanto dalle prime indagini della Polizia Postale, in collaborazione con L’Europol e l’FBI, sembra che tutto sia partito dalla violazione di un account di un dipendente della Regione

.
Per cercare di fare chiarezza su questo caso di cronaca abbiamo intervistato Ludovico Loreti, cybersecurity Expert di Antreem e Roberto Camerinesi, ricercatore per Cyber Evolution ed esperto di sicurezza informatica.
Si è trattato di un ransomware, “una delle ‘armi’ preferite dai criminali informatici” ha spiegato Camerinesi, in quanto “ha la possibilità di chiedere riscatti economici alle aziende e privati per poter recuperare i propri dati”. Si tratta di un “malware ed agisce rendendo i dati che trova sul bersaglio - che sia esso un PC, un server o un NAS - illeggibili, o per meglio dire cifrati, sfruttando, per dare un’idea, gli stessi algoritmi utilizzati per altri scopi invece leciti, come le connessioni protette verso siti online e pagamenti remoti” ha sottolineato l’esperto. I malware vanno dunque a “enumerare i file e le cartelle che trova nell’host infetto, applicandovi algoritmi noti di cifratura. A questo punto, per decifrare i file, è necessaria una chiave molto lunga che solo il mittente dell’attacco possiede e senza la quale, si può fare ben poco”.

Solitamente per lo sblocco dei dati viene chiesto il pagamento di un riscatto, ma il consiglio è quello di non pagarlo mai “per due motivi: da una parte perché in tal modo si fomenta il mercato del ransomware tanto che oggi esiste un mercato chiamato Ransomware as a Service (RaaS)” spiega Loreti, “inoltre perché non si ha mai la certezza di ricevere la chiave di decrittazione, anzi spesso, dopo il pagamento del riscatto, i cyber criminali scompaiono senza ovviamente dare nessun tipo di chiave per decriptare i files”. In sostanza “riavere i files indietro senza pagare il riscatto e, ovviamente senza possederli in un eventuale backup è quasi impossibile” ha spiegato l'esperto di Antreem.

Qual è dunque l’obiettivo di questo tipo di attacchi? La raccolta di dati personali o il pagamento del riscatto per la restituzione degli stessi?Potrebbe benissimo essere entrambi, dipende dall'attacco. Una minaccia potrebbe benissimo eseguire una data-exfiltration in primis su server remoti, poi cifrare tutto ugualmente” afferma Camerinesi. “Solitamente i gruppi di hacker che svolgono questo tipo di attacco hanno un obiettivo ben preciso, e normalmente quando criptano i dati lo fanno per lucrarci sopra” sottolinea Loreti.

Per evitare il problema, sebbene sia molto complesso dare una risposta univoca “è necessaria prima di tutto una cultura aziendale sulla sicurezza informatica, avere tutti i sistemi aggiornati con le ultime patch di sicurezza, installare software di prevenzione quali SIEM, IDS, IPS, Firewall e a livello di computer singoli, installare i vari Antivirus, Antimalware, EDR e chi più ne ha più ne metta” spiega Loreti. “Purtroppo oggi difendersi dagli attacchi informatici è più complesso, perché è necessario avere una serie di accortezze e un monitoraggio sempre attivo dei sistemi ad alto rischio” sottolinea Loreti.

Trovare l’attore [dell’attacco, ndr] è come trovare un ago in un pagliaio, anche peggio. Molte tecniche permettono di nascondersi, usando nodi sparsi nel globo per far rimbalzare il segnale molte volte ed in molti modi” afferma Camerinesi. “Abbiamo casi recenti, dove si è dovuti intervenire con collaborazioni internazionali per risalire ad una fonte nel modo più accurato possibile, come accaduto con la minaccia Emotet da parte dell'Interpol. Per cui, sicuramente solo le fonti ufficiali potranno definire esattamente la provenienza, fino ad allora possiamo parlare congetture o deduzioni dai primi contatti con il post-infezione”.


Abbiamo poi chiesto ai due esperti se in Italia, rispetto agli altri Paesi, siamo più indietro sul tema cybersecurity: “Gli esperti ci sono. Di sicuro la cultura si sta creando, certo è ancora  molto indietro. Faccio un esempio: ‘Spendo migliaia di euro annuali per proteggermi da attacchi informatici ma non sono mai stato attaccato, ho buttato via dei soldi?’ La mia risposta breve è no e si potrebbe approfondire molto su questo particolare argomento, ma sarebbe interessante avere altri pareri soprattutto da chi un’azienda la gestisce e ne è a capo” ha affermato Loreti.


linkedin