regione lazio
Attacco hacker, ecco come sono stati «bucati» i sistemi della regione Lazio
Per l’attacco hacker che ha colpito la regione Lazio sono state usate le credenziali di un dipendente di Frosinone. Criptati milioni di dati dal ransomware. Gli esperti: «Senza chiave andrà tutto perso»
Il governatore Nicola Zingaretti
Se non si recupererà la chiave, milioni di dati criptati della Regione Lazio non potranno essere recuperati. Al termine di una riunione straordinaria convocata dal Nucleo speciale sulla cybersicurezza, gli esperti hanno informato il governo sulle conseguenze dell’attacco hacker definito dal governatore Nicola Zingaretti «un’offensiva terroristica». È bloccato il sito di prenotazione dei vaccini e adesso si sta verificando quali sono gli altri siti bloccati e soprattutto quali dati sono stati catturati.
La falla a Frosinone
Gli analisti hanno ricostruito che l’accesso iniziale è avvenuto sfruttando le credenziali VPN di un dipendente di Frosinone. Subito dopo «sono state stabilite connessioni da un altro computer con credenziali admin valide». A quel punto è stato facile inserire «una backdoor che consente facile accesso e il criptatore che cripta tutti i dati e attiva il ransomware».
Gli hacker, quindi, sono penetrati nel sistema usando username e password di un dipendente proprio come fa qualsiasi lavoratore che si trova in smart working. Tramite il RAT (Remote Access Trojan) Emotet, uno dei più noti, hanno creato una breccia che gli ha permesso di acquisire maggiori «privilegi», ovvero di eseguire operazioni più a fondo, e quindi infettato il sistema.
Il problema è che l’account sfruttato per l’accesso nel sistema non era protetto con l’autenticazione a due fattori, un metodo che, oltre alla password, chiede di confermare la propria identità in altro modo, per esempio tramite un’app, un messaggio sullo smartphone, il riconoscimento facciale. Un sistema semplice che molti di noi utilizzano quotidianamente per accedere ai servizi bancari, alla Spid o ai servizi di posta elettronica.
Dati bloccati
Attualmente la Vpn (la rete virtuale che dà accesso al sistema) è ancora bloccata, poi è stato bloccato il sito di prenotazione dei vaccini della regione Lazio. Gli analisti hanno infatti verificato che «i dati criptati non hanno ulteriori backup e pertanto se non si recupera la chiave non potranno essere ripristinati». Un classico nel mondo dei ransomware che criptano tutti i dati che incontrano, anche le copie di riserva dei dati, proprio costringere la vittima a pagare. In caso contrario l’intero sistema rimane inutilizzabile. Al momento comunque si sta lavorando per eradicare il virus «prima del ripristino dell’attività».
Il riscatto
Non è ancora stato possibile quantificare la richiesta di riscatto perché l’avviso apparso dopo l’attacco invitava a seguire una serie di istruzioni per ottenere lo sblocco dei dati, ma il collegamento non è stato attivato — su indicazione delle polizia postale — proprio per evitare conseguenze ancora più gravi. Difficile stabilirne l’entità ma in genere chi progetta ransomware studia attentamente la propria vittima e stabilisce un «giusto riscatto» in base al suo fatturato. In luglio per esempio si è registrata la richiesta record di 70 milioni di dollari a 200 aziende statunitensi.
Registro virtuale
Gli esperti adesso stato esaminando «log, file, dati di traffico». In pratica hanno recuperato il “registro virtuale” con tutti i passaggi e gli accessi eseguiti sulla Rete. Dati che permetteranno di approfondire ulteriormente che cosa è accaduto.