Cyberattack alla Regione Lazio: tutto è bene, quel che inizia male

Dopo giorni di grave preoccupazione, una buona notizia: la Regione Lazio ha riattivato le prenotazioni per il vaccino anti Covid-19 grazie ad un backup dei dati del 30 luglio.

Ma non dobbiamo cantar vittoria, principalmente per quattro motivi:

1) la scoperta della versione di backup è stato un caso fortuito (e fortunato);

2) le altre prestazioni e piattaforme del sistema sanitario regionale restano fuori uso;

3) le responsabilità in Regione ancora devono essere chiarite;

4) alcuni elementi e conseguenze dell’attacco cyber sono ancora ignoti.

Sullo sfondo, rimangono due grandi problemi: la cyber security e la comunicazione istituzionale della Regione Lazio.

Il backup: bravura della Regione o errore dei cyber criminali?

Scartate l’ipotesi di gruppi di hacktivisti (“hacker attivisti” spinti da ragioni ideologiche, come NoVax o Anonymous) e cyber terroristi, l’attacco è stato mosso da motivi puramente economici: i soldi.

Sferrando un attacco ransomware, i cyber criminali del gruppo Sprite Spider mirano ad ottenere una certa somma di denaro (in criptovalute) dalla Regione Lazio.

Nel farlo, i cyber criminali hanno cifrato i dati primari, rendendoli indisponibili alla Regione. Quest’ultima è indotta a pagare il riscatto (ransom) per ottenere così la chiave di decrittazione dei dati.

Attualmente, non ci sono evidenze che i dati siano stati anche rubati: infatti la cifratura è un’operazione meno costosa e più rapida rispetto all’esfiltrazione di un data center.

Prima della cifratura però, i cyber criminali hanno tentato di eliminare tutte le copie di salvataggio dei dati (backup), altrimenti la Regione avrebbe potuto ripristinare i backup precedenti.

I dati di salvataggio non sono stati cifrati (operazione onerosa) ma sono stati eliminati sovrascrivendoli con dei nuovi.

Tuttavia una versione del backup (datata 30 luglio) è rimasta illesa grazie a VTL (virtual tape library), un particolare sistema di gestione dei dati di backup acquistato dalla Regione nel 2019.

Come riferisce Corrado Giustozzi – esperto in cyber security, ex Agid e Enisa – VTL non è un disco nè un server tradizionale ma un’attrezzatura per data center che emula l’archiviazione (storage) su nastro magnetico. In questo modo, VTL consente un disaccoppiamento molto importante tra le funzioni di alto livello e lo strato fisico.

Grazie a VTL, il recupero del backup è stato possibile perché l’eliminazione dei dati è stata solo di tipo logico e non fisico, essendo i dati rimasti nel substrato delle memorie.

Tuttavia i dati ripristinati a basso livello, generalmente, non sono integrali e bisognerà vedere quanti e quali problemi sorgeranno.

RansomEXX & Sprite Spider

Il ransomware in questione è il RansomEXX, una multi-piattaforma operata a basso volume come parte di attacchi cyber multifase verso soggetti pubblici e privati.

Il gruppo cyber criminale Sprite Spider è particolarmente attivo nella manutenzione e nello sviluppo di questo ransomware. Nei mesi scorsi Sprite Spider si è reso autore dell’attacco contro il Consiglio Nazionale del Notariato.

Tornando all’hackeraggio alla Regione Lazio, dai primi riscontri è emerso che RansomEXX è stato installato sul computer di un dipendente regionale ma ancora ignoto è il modo con cui è stato inoculato. Le ipotesi al vaglio degli inquirenti e degli analisti sono varie: phishing (il dipendente ha fornito, direttamente o meno, le credenziali VPN); vulnerabilità di rete, software o VPN; accesso abusivo a sistemi esterni.

A differenza di altri commentatori, non riportiamo l’età anagrafica e la residenza del dipendente dal cui computer si presume sia partito l’attacco. Solo le indagini potranno dirci se questi elementi siano o meno rilevanti per l’analisi dell’attacco ed evitare di commettere nuovamente gli stessi errori.

Conclusione

Come dicevamo all’inizio, la Regione Lazio ha gestito malamente e goffamente la crisi innescata dall’attacco cyber.

In primis, si è mostrata impreparata e immatura nell’affrontare un attacco cyber di modesto livello di sofisticazione, denotando una inadeguata.

È necessario investire nella cyber security nel senso più ampio del termine: destinare risorse finanziarie senza trascurare cultura, sensibilità e formazione in cyber security. Che il PNRR e la neonata ACN (Agenzia per la cyber security nazionale) possano dare un forte contribuito in questa direzione.

In secundis, il Presidente di Regione e l’Assessore alla Sanità hanno comunicato notizie scorrette, incerte, e lasche sull’oggetto dell’attacco, sulle motivazioni e sulle finalità degli attaccanti, sui tempi di ripresa e ripristino dei servizi, etc.

Tutto questo ha aggravato ancora le difficoltà organizzative e operative dell’ente ma ha anche generato ulteriore confusione specialmente verso cittadini, i soggetti più deboli e meno consapevoli in questo contesto.

Infine, la lezione da imparare da questo attacco cyber è che oggi siamo stati fortunati ma domani dobbiamo essere preparati.

Altri articoli dell'autore

Puoi leggere anche...

567FansLike
1,502FollowersFollow
Advertisment

Ultime notizie

L’acqua

L’acqua vuol dire vita e quindi è un bene primario. Senza fare polemiche è ben rappresentare che la rete idrica del nostro paese a dir...

Comunità Energetica

Il Clean Energy for Europe Package è basato su una proposta della Commissione Europea e precisamente del Novembre 2016 e definisce gli obiettivi e...

ESG

Quando si parla di acronimi si capisce niente. In questo caso il significato è Environmental Social Governance. Sarebbe meglio dire ambiente sociale governance per renderlo più...

Vuoi avere le notizie aggiornate ogni mercoledi?

Iscriviti alla newsletter

LinkedIn
LinkedIn
Share