Attacco hacker regione Lazio: analisi del caso

Gestire il rischio di attacchi informatici non è sempre semplice poiché la criminalità informatica sviluppa sempre nuove strategie e modalità di sfruttamento delle vulnerabilità infrastrutturali in tandem con l’avanzamento delle misure della sicurezza informatica.

In effetti, un esempio recente è l’attacco hacker alla Regione Lazio verificatosi nei primi giorni di agosto del 2021.

Il modo in cui l’emergenza è stata gestita da una struttura ricca di criticità e custode di una cospicua mole di dati sensibili ha acceso un turbine di dibattito, in particolare nel settore informatico e degli specialisti della tutela della privacy.
Secondo le indagini sarebbe stato preso di mira il sito web di prenotazione delle vaccinazioni della Regione Lazio; un nodo chiave in una fase così delicata della pandemia è stato un avvincente appello per gli hacker che hanno lanciato questa forma di attacco.

A questo punto vorremmo fare un esame dell’attacco ransomware avvenuto ai danni dell’infrastruttura e di come, la regione Lazio abbia gestito la situazione di crisi.

Domenica 1° agosto 2021 veniva ufficialmente divulgata la notizia di un attacco ransomware alla Regione Lazio.

L’account Twitter della regione Lazio comunicava nelle primissime ore del mattino che un gruppo di hacker stava attaccando il centro elaborazione dati regionale. Di conseguenza, avrebbero potuto essere disagi nella prenotazione delle vaccinazioni Covid-19.
In un momento in cui la campagna vaccinale sembrava essersi finalmente avviata a pieno ritmo, nonostante i problemi iniziali, l’attacco informatico ha rappresentato, per molti, l’ennesima pecca infrastrutturale.

Come ci si potrebbe aspettare, le risposte del pubblico a tutti i livelli di competenza sono state rapide e nel frattempo sono emerse le prime domande dei più lungimiranti.

Che ne sarebbe stato dell’ingente volume di pratiche e procedure amministrative legate alla banca dati della Regione Lazio?

Il pericolo imminente avrebbe potuto essere la perdita di decenni di documenti pubblici.
La Regione Lazio, inoltre, avrebbe faticato nell’allinearsi agli standard digitali per la conservazione e la gestione dei documenti in formato elettronico, ma è emerso che, negli ultimi tempi, il sistema stesse funzionando meglio che in passato, per le esigenze emerse in relazione alla prenotazione vaccini anti-Covid19.

L’attacco hacker viene identificato sin dal primo momento come un ransomware attack.
Si è scoperto che il malware aveva saputo sfruttare la presenza di una vulnerabilità nel sistema di connessione VPN, utilizzata per accedere alla rete tramite un dispositivo in remoto.

Uno dei tanti supporti impiegati dalle persone che lavoravano in smart working in quel preciso momento storico. Di conseguenza, l’assalto ransomware al CED della Regione Lazio sarebbe partito da un privilege escalation conquistato dagli hacker.

Dopo aver intercettato le credenziali di amministratore di alto livello, il gruppo di criminali avrebbe poi bloccato l’intero database, a cominciare dall’anello più debole, le prenotazioni delle vaccinazioni.

Le indagini hanno rivelato che il punto d’accesso, per gli hacker, alla rete regionale sarebbe stato un PC utilizzato da un dipendente regionale residente a Frosinone. Inoltre, i criminali avrebbero sfruttato la tecnologia legata al malware Emotet, per creare un’apertura e assumere il controllo completo del sistema.

L’attacco ransomware includeva anche la terza e più significativa fase; la crittografia dei dati e la richiesta ufficiale del riscatto in cambio del rilascio.

A completare il quadro dell’evento era emersa una questione significativa; oltre ai dati era stato crittografato anche il backup dei dati.
Gli analisti hanno scoperto che, oltre a quello compromesso, nessun’altra copia salvata era accessibile e che il database non poteva essere recuperato in assenza della chiave di ripristino. Al seguito di queste evidenze, si è scatenato un ricco battito sui media, anche in merito comprensibilmente, ad eventuali sospetti sull’entità del riscatto.

Fortunatamente, dopo alcuni giorni di lavoro, fonti ufficiali hanno rivelato che il danno era riparabile poiché il backup non era stato completamente cancellato e poteva quindi essere recuperato.

Infine, il 5 agosto, è ripresa l’attività di prenotazione delle vaccinazioni, con un collettivo sospiro di sollievo.
Secondo le comunicazioni ufficiali, tutte le operazioni legate al sistema informatico della Regione Lazio avrebbero potuto essere riprese correttamente entro la fine di agosto.

Ad ogni modo, il fermo operativo dell’infrastruttura a seguito dell’attacco hacker è durato diversi giorni.

Le misure di sicurezza già presenti all’interno dei sistemi della Region Lazio avrebbero dovuto proteggere la rete, i dati e i dispositivi collegati.
invece, purtroppo così non è stato.

In questo esempio, l’aggressione è stata condotta dal computer di un dipendente mentre stava lavorando in modalità smart working per mezzo di un dispositivo di sua proprietà. Ignaro di quello che stava succedendo, il sessantunenne di Frosinone ha collaborato all’assalto ransomware, che ha comportato la criptazione dei dati. In tale circostanza emerge la mancanza di una regolamentazione sufficiente per l’accesso alla rete della Regione Lazio, nonché la mancanza di regole che prevedano l’autenticazione forte per accedere alla VPN. Sono stati proprio queste grosse falle nella gestione degli accessi che hanno consentito agli hacker di accedere alla rete.

Tuttavia, dobbiamo dirlo: una struttura di sicurezza opportunamente costruita avrebbe dovuto prevenire in anticipo questo tipo di attacco.

A eccezione dei database primari e sanitari, la crittografia dei dati, in particolare all’interno della macchina virtuale VM-Ware, ha comportato il blocco di app, piattaforme, siti Web e dati regionali.

Poiché la Regione Lazio possedeva solo un backup online, quest’ultimo era stato momentaneamente disabilitato dall’assalto del ransomware. In virtù di questa condizione, il backup logico non si era danneggiato e solo per questo motivo è stato possibile ripristinarlo.

I portavoce della Regione Lazio avrebbero invece precisato che i dati sanitari dei pazienti erano correttamente conservati.

Il 5 agosto, il professionista IT e specialista in sicurezza informatica Corrado Giustozzi ha riferito di aver ripristinato il backup al 30 luglio.
Secondo i portavoce della Regione, contrariamente ai primi sospetti, i dati non furono crittografati, ma semplicemente eliminati. Grazie a questa scoperta, è stato possibile recuperali con l’ausilio di personale qualificato.

Analoghe aggressioni informatiche sono state individuate nell’aprile 2021 contro l’ospedale Spallanzani di Roma e il San Raffaele di Milano.
Data la redditività degli attacchi ransomware, l’attività criminale di crittografare i dati per renderli inaccessibili e richiedere un riscatto si sta diffondendo rapidamente.

Di conseguenza, la prevenzione è l’arma difensiva primaria, poiché in molte situazioni, una volta nota la portata del problema, è troppo tardi per invertire il danno. Pertanto, ci si trova di fronte a un’asta criminale in cui i dati sono presi di mira e i meccanismi di prevenzione messi in atto sono spesso insufficienti o inadatti al tipo di attività svolta dall’organizzazione.

Tuttavia, i requisiti minimi di sicurezza necessari per la Pubblica Amministrazione includono la garanzia che i supporti di backup non siano permanentemente accessibili dal sistema.

Quindi, è necessario impedire che eventuali assalti al dispositivo stesso influiscano anche sulle altre copie di sicurezza.
Non solo, ma la Regione Lazio, in quanto infrastruttura cruciale, è coperta dalla Direttiva europea NIS, che affronta il tema della sicurezza delle reti e dei sistemi informativi. Di conseguenza, i soggetti interessati devono rispettare determinati standard di sicurezza e mantenere sempre elevati standard di sicurezza in tutte le procedure, secondo le normative.

Invece, il meccanismo di prenotazione delle vaccinazioni, come la sicurezza della rete in generale, si è rivelato piuttosto vulnerabile.

Si tratta dell’ennesimo attacco informatico al settore sanitario, uno dei più colpiti a livello globale, a causa della pandemia di Covid-19 e di altri fattori. Questo evento è da considerarsi forse il catalizzatore per la formazione della National Cybersecurity Agency.

In conclusione, ciò che è risultato dall’assalto ransomware lanciato ai sistemi della Regione Lazio evidenzia la necessità, ora più che mai, di adottare forti misure di sicurezza per impedire agli hacker di sfruttare qualsiasi potenziale falla nel sistema.

La Regione Lazio è uno degli esempi più drammatici, ma ha sensibilizzato sul fatto che nessuna realtà, per quanto grande e organizzata, è forse immune da attacchi informatici. Inoltre, mentre gli effetti di quest’ultimo caso non sembrano essere così gravi come inizialmente previsto, i rischi di una grande fuga di dati sono di proporzioni epocali.

Pertanto, il mantenimento di adeguati standard di sicurezza informatica sta aumentando la richiesta di avvocati elettronici e professionisti della sicurezza informatica come profili chiave per la protezione dei portali informatici, la protezione dei dati sensibili e la risoluzione di eventuali controversie.

Mai come oggi nella storia è stato così importante prendere coscienza della necessità di adottare adeguate misure preventive contro gli attacchi della criminalità informatica alla rete, attraverso la guida di aziende specializzate nel settore e da anni continuamente aggiornate sul tema.