Cyberattack alla Regione Lazio: tutto è bene, quel che inizia male

Dopo giorni di grave preoccupazione, una buona notizia: la Regione Lazio ha riattivato le prenotazioni per il vaccino anti Covid-19 grazie ad un backup dei dati del 30 luglio.

Ma non dobbiamo cantar vittoria, principalmente per quattro motivi:

1) la scoperta della versione di backup è stato un caso fortuito (e fortunato);

2) le altre prestazioni e piattaforme del sistema sanitario regionale restano fuori uso;

3) le responsabilità in Regione ancora devono essere chiarite;

4) alcuni elementi e conseguenze dell’attacco cyber sono ancora ignoti.

Sullo sfondo, rimangono due grandi problemi: la cyber security e la comunicazione istituzionale della Regione Lazio.

Il backup: bravura della Regione o errore dei cyber criminali?

Scartate l’ipotesi di gruppi di hacktivisti (“hacker attivisti” spinti da ragioni ideologiche, come NoVax o Anonymous) e cyber terroristi, l’attacco è stato mosso da motivi puramente economici: i soldi.

Sferrando un attacco ransomware, i cyber criminali del gruppo Sprite Spider mirano ad ottenere una certa somma di denaro (in criptovalute) dalla Regione Lazio.

Nel farlo, i cyber criminali hanno cifrato i dati primari, rendendoli indisponibili alla Regione. Quest’ultima è indotta a pagare il riscatto (ransom) per ottenere così la chiave di decrittazione dei dati.

Attualmente, non ci sono evidenze che i dati siano stati anche rubati: infatti la cifratura è un’operazione meno costosa e più rapida rispetto all’esfiltrazione di un data center.

Prima della cifratura però, i cyber criminali hanno tentato di eliminare tutte le copie di salvataggio dei dati (backup), altrimenti la Regione avrebbe potuto ripristinare i backup precedenti.

I dati di salvataggio non sono stati cifrati (operazione onerosa) ma sono stati eliminati sovrascrivendoli con dei nuovi.

Tuttavia una versione del backup (datata 30 luglio) è rimasta illesa grazie a VTL (virtual tape library), un particolare sistema di gestione dei dati di backup acquistato dalla Regione nel 2019.

Come riferisce Corrado Giustozzi – esperto in cyber security, ex Agid e Enisa – VTL non è un disco nè un server tradizionale ma un’attrezzatura per data center che emula l’archiviazione (storage) su nastro magnetico. In questo modo, VTL consente un disaccoppiamento molto importante tra le funzioni di alto livello e lo strato fisico.

Grazie a VTL, il recupero del backup è stato possibile perché l’eliminazione dei dati è stata solo di tipo logico e non fisico, essendo i dati rimasti nel substrato delle memorie.

Tuttavia i dati ripristinati a basso livello, generalmente, non sono integrali e bisognerà vedere quanti e quali problemi sorgeranno.

RansomEXX & Sprite Spider

Il ransomware in questione è il RansomEXX, una multi-piattaforma operata a basso volume come parte di attacchi cyber multifase verso soggetti pubblici e privati.

Il gruppo cyber criminale Sprite Spider è particolarmente attivo nella manutenzione e nello sviluppo di questo ransomware. Nei mesi scorsi Sprite Spider si è reso autore dell’attacco contro il Consiglio Nazionale del Notariato.

Tornando all’hackeraggio alla Regione Lazio, dai primi riscontri è emerso che RansomEXX è stato installato sul computer di un dipendente regionale ma ancora ignoto è il modo con cui è stato inoculato. Le ipotesi al vaglio degli inquirenti e degli analisti sono varie: phishing (il dipendente ha fornito, direttamente o meno, le credenziali VPN); vulnerabilità di rete, software o VPN; accesso abusivo a sistemi esterni.

A differenza di altri commentatori, non riportiamo l’età anagrafica e la residenza del dipendente dal cui computer si presume sia partito l’attacco. Solo le indagini potranno dirci se questi elementi siano o meno rilevanti per l’analisi dell’attacco ed evitare di commettere nuovamente gli stessi errori.

Conclusione

Come dicevamo all’inizio, la Regione Lazio ha gestito malamente e goffamente la crisi innescata dall’attacco cyber.

In primis, si è mostrata impreparata e immatura nell’affrontare un attacco cyber di modesto livello di sofisticazione, denotando una inadeguata.

È necessario investire nella cyber security nel senso più ampio del termine: destinare risorse finanziarie senza trascurare cultura, sensibilità e formazione in cyber security. Che il PNRR e la neonata ACN (Agenzia per la cyber security nazionale) possano dare un forte contribuito in questa direzione.

In secundis, il Presidente di Regione e l’Assessore alla Sanità hanno comunicato notizie scorrette, incerte, e lasche sull’oggetto dell’attacco, sulle motivazioni e sulle finalità degli attaccanti, sui tempi di ripresa e ripristino dei servizi, etc.

Tutto questo ha aggravato ancora le difficoltà organizzative e operative dell’ente ma ha anche generato ulteriore confusione specialmente verso cittadini, i soggetti più deboli e meno consapevoli in questo contesto.

Infine, la lezione da imparare da questo attacco cyber è che oggi siamo stati fortunati ma domani dobbiamo essere preparati.

Altri articoli dell'autore

Puoi leggere anche...

567FansLike
1,505FollowersFollow
Advertisment

Ultime notizie

Pirovert – sostenibilità ambientale

IL PROGETTO CHE SI COLLOCA NEL CONTESTO DELLA SOSTENIBILITÀ AMBIENTALE DA IL VIA ALLA FASE DELLA COMUNICAZIONE   La soluzione proposta nel Progetto PIROVERT e,...

La transizione ecologica e l’accesso agli incentivi

La necessità di procedere verso una transizione ecologica è sempre più pressante e l’Unione Europa ha fissato diversi obiettivi da raggiungere. Entro il 2030...

Siamo sempre connessi!

Consumi in stand-by Ormai non si da più freno al consumo di energia elettrica a partire dai cellulari lasciati in carica tutta la notte, i...

Vuoi avere le notizie aggiornate ogni mercoledi?

Iscriviti alla newsletter

LinkedIn
LinkedIn
Share