Attacco hacker alla Regione Lazio: cosa è successo

Giorni di terrore per la regione, a rischio i dati sensibili di milioni di persone

Ha lasciato tutti con il fiato sospeso la notizia di un attacco hacker alla Regione Lazio. Tra l’1 e il 2 agosto alcuni pirati informatici hanno aggredito la piattaforma, rendendola non funzionante per oltre 72 ore. La questione è sin da subito apparsa delicata. Infatti in questi casi è quasi impossibile escludere trattative con i sabotatori per recuperare dati senza backup (inizialmente sembrava non esistessero copie di sicurezza aggiornate).

Il sistema virtuale gestito da Lazio Crea contiene un database non solo collegato alla campagna vaccinale, ma anche a qualsiasi servizio sanitario o prenotazione medica. Eppure, ciò che fa più parlare sono sicuramente le somministrazioni di vaccino, che però in questi giorni non si sono mai interrotte. E anche se sembra che nessun dato sia stato ancora trafugato, il grande problema diventa la rimessa in funzione della macchina. Per questo è necessario fermare l’attacco.

Dunque, che fare? Evitare qualsiasi contatto con i criminali? Aprire una trattativa? Pagare il riscatto? In questi giorni, mentre l’inchiesta della Polizia Postale procedeva, se ne sono dette molte. Vediamo quindi di fare un po’ di chiarezza.

Attacco hacker alla Regione Lazio: le prime indiscrezioni

Le informazioni giunte a poco a poco hanno creato molta confusione. Sappiamo che l’attacco è partito dalla violazione dell’account di un dipendente di Lazio Crea in smart working. Rubandogli le credenziali di accesso, i criminali sono arrivati a un amministratore di rete per provocare la disattivazione del portale.

Da lì, nel giro di poche ore, LockBit 2.0 si è replicato a gran velocità utilizzando le chiavi di accesso della vittima. Al ransomware bastano poche ore per infiltrarsi in una piattaforma virtuale, criptare i dati e poi inviare la richiesta di riscatto via link, una cifra da pagare in criptovaluta. Si richiede di usare Tor (The Onion Router), un software popolare tra gli hacker per comunicare in modo anonimo e difficilmente rintracciabile.

Così iniziano le indagini della Polizia Postale, affiancata in poco tempo anche da FBI ed Europol. L’obiettivo è incrociare i dati forniti dall’estero per individuare eventuali similitudini con altri casi passati di ransomware cryptolocker e chiarire l’origine dell’attacco. Nel fascicolo i reati ipotizzati sono accesso abusivo a sistema informatico, tentata estorsione e danneggiamento di sistema informatici, con l’aggravante delle finalità di terrorismo.

In poche ore LockBit 2.0 si è replicato a gran velocità utilizzando le chiavi di accesso di un dipendente

Le conseguenze

Ciò che è accaduto è gravissimo: non solo gli hacker hanno “preso in ostaggio” l’universo telematico del Lazio, con ricadute pesantissime sulla sanità e sulla campagna vaccinale. Ciò che davvero preoccupa è che i sistemi contengono anche i dati sensibili di quasi sei milioni di cittadini (tra cui si contano personalità come Sergio Mattarella, Mario Draghi e altre alte cariche dello Stato).

Di conseguenza è fondamentale trasferire in sicurezza i dati in appositi cloud, e allo stesso tempo scongelare la piattaforma rendendo possibile almeno la prenotazione dei vaccini. Ad oggi infatti questa funzione è già disponibile, mentre per altri servizi bisognerà aspettare alcuni giorni.

E le accuse al dipendente bucato dagli hacker non si fermano. Molti infatti credono che sia stato lui a vendere le password ai criminali. Nicola, 61 anni, ha raccontato al Corriere l’intrusione lamentando la propria emarginazione da parte di colleghi “affamati di gossip”. Ma non c’entrano siti pornografici o contatti con i terroristi: lui stesso non riesce a spiegarsi come sia potuto succedere. E alla domanda “perché hanno scelto proprio lei?” si limita a rispondere che probabilmente è colpa dei suoi strani orari di lavoro. Svegliandosi di notte per smaltire le pratiche più diverse, avrà attirato l’attenzione degli hacker.

Il riscatto

Fondamentale dire che i dati non sono ancora stati violati, ma solo immobilizzati. Infatti il ransomware funziona per riscatto: l’attacco è pilotato e va alla ricerca di obiettivi di valore, dunque viene spesso usato contro aziende e organizzazioni. E questo è un momento particolarmente favorevole: le modalità di smart working hanno abbassato i livelli di sicurezza.

A questo punto per recuperare il completo controllo della piattaforma è necessario seguire determinati passaggi, illustrati dagli hacker in una email recapitata alla Regione Lazio. I dati non verranno restituiti fino al pagamento del riscatto in bitcoin, per una cifra vicina ai cinque milioni di euro. E attenzione all’ultimatum: oggi, sabato 7 agosto, è scaduto il limite per la decisione definitiva.

Ora che si avvicina il momento di fare la scelta, la posizione della Regione è tutt’altro che chiara. Da subito sembrava che anche i backup fossero stati cifrati, cosa che aveva portato gli esperti a propendere per una trattativa con gli aggressori. Eppure, poche ore fa, Zingaretti ha affermato di non voler pagare il riscatto, dicendosi sicuro di aver accesso a un backup non criptato aggiornato al 30 luglio, il giorno prima dell’attacco. Ma non ha rivelato la dinamica di questo recupero. Solitamente, infatti, è quasi impossibile superare questo tipo di situazioni senza pagare un riscatto ai criminali.

Il riscatto del valore di circa cinque milioni di euro dovrà essere pagato in Bitcoin

L’attacco hacker alla Regione Lazio è solo l’inizio?

La vicenda mette ancora una volta in risalto quanto sia importante, in questo momento storico, impegnarsi per proteggere i dati più sensibili e fornire la giusta preparazione a coloro che lavorano nelle aziende. Siamo infatti entrati in una nuova era, in cui i sequestri di persona e le rapine sono stati sostituiti dalle minacce informatiche.

Sembra che nell’ultimo anno quasi il 40% delle aziende abbiano ricevuto un attacco ransomware. La percentuale è altissima e spaventosa, per questo i prezzi delle assicurazioni cyber si impennano. Vicino a noi sono state ricattate Campari, Enel e Luxottica, solo per citarne alcune. Certo anche il Covid non ha migliorato la situazione, rendendo il lavoro ancora meno sicuro.

Inoltre gli attaccanti sono sempre più aggressivi: non si tratta di persone che agiscono nell’ombra e isolatamente, ma di vere e proprie aziende con un modello di business. Matura l’organizzazione di un’economia cybercriminale, in cui le piccole gang iniziano a rivolgersi al big game hunting, prendendo di mira grandi società. Non ci resta che prestare sempre più attenzione ai nostri dati, costantemente sotto minaccia.

attacco hackercyberattaccohackerhacking