mercoledì 4 agosto 2021
Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda
Col trascorrere delle ore emergono nuove informazioni e dettagli rispetto al gravissimo attacco ransomware subito dal data center dei sistemi informatici della Regione Lazio.
La situazione è ancora ben lungi da tornare alla normalità e già ieri si parlava della necessità di oltre 15 giorni per ripristinare correttamente i sistemi: d'altronde, l'unico backup dei sistemi informatici regionali era online ed ha anche questo subito la criptazione, così non può essere utilizzato per ripristinare la rete e i servizi. Inoltre, ogni tentativo di riportare online la rete termina con la riattivazione del ransomware. Zingaretti ha annunciato ieri che stanno procedendo al trasferimento dei dati necessari per i servizi sanitari essenziali verso un sistema in cloud esterno: in pratica stanno provando ad allestire un sistema informatico alternativo a quello in paralisi per l'attacco. D'altronde sono bloccati servizi sanitari di grande importanza: non solo è in blocco l'intero sistema di gestione della campagna vaccinale, ma non è neppure possibile prenotare online visite specialistiche, effettuare Pap test e mammografie ecc.. Bloccato anche il sistema di gestione del Green Pass, la possibilità di pagare bolli e di ottenere autorizzazioni sia sanitarie che edilizie.
Galeotta fu la VPN...
Le verifiche della Polizia Postale hanno portato ad individuare almeno il punto di accesso, ovvero una falla nella VPN utilizzata dai dipendenti della Regione per accedere da remoto alla rete. In dettaglio, i dati hanno portato a concentrare l'attenzione sul computer in uso ad un impiegato della Regione residente a Frosinone: l'accesso degli attaccanti alla rete è avvenuto proprio sfruttando le sue credenziali rubate. L'escalation verticale di privilegi è stato poi ottenuto grazie all'uso del famigerato trojan Emotet: a quel punto, l'accesso rubato al dipendente ha consentito tutti i privilegi necessari per eseguire operazioni più profonde nella rete, come, appunto, la distribuzione del ransomware.
Nulla di nuovo, sono migliaia i casi di attacco ransomware nel mondo in cui il punto di accesso alla rete è stato ottenuto tramite credenziali deboli o una falla nella VPN: VPN che si sono diffuse celermente e in modo caotico negli ultimi due anni, come unico sistema per garantire ai lavoratori di poter svolgere da casa mansioni che la pandemia Covid impediva di svolgere in ufficio. L'assenza dell'autenticazione a più fattori ha semplicemente spianato la strada agli attaccanti che, disponendo di username e password, non hanno neppure dovuto fare la fatica di intercettare l'OPT.
Il mistero della richiesta di riscatto
Fino a ieri Zingaretti ha continuato a definire l'attacco subito dalla regione "potente e senza precedenti" (ed è falso, come ben sanno centinaia di migliaia di aziende nel mondo), ma ha anche ribadito che non è stata formalizzata alcuna richiesta di riscatto.
L'opinione > Attacco ransomware alla regione Lazio: buongiorno Italia!
Come ha ricostruito grazie ad anonime fonti interne la redazione di Bleeping Computer, la richiesta di riscatto esiste eccome ma non è stata quantificata in denaro: la nota contiene le informazioni per contattare gli attaccanti, ma non riporta alcuna specifica richiesta in criptovalute. L'ammontare del riscatto richiesto non è quindi conosciuto ad ora, perché stando a quanto affermato dai portavoce della Regione, non ci sono contatti né trattative in corso con gli attaccanti.
La nota di riscatto "recapitata" alla Regione Lazio. Fonte: bleepingcomputer.com
Da Bleeping Computer fanno anche sapere di aver messo le mani su uno screenshot della pagina di negoziazione degli attaccanti, dove si afferma chiaramente che la Regione dovrà pagare un riscatto per poter tornare in possesso dei propri file e sistemi.
Ma di che ransomware parliamo?
C'è ancora disaccordo su quale sia la famiglia di ransomware che ha colpito la Regione Lazio: la nota di riscatto sopra mostrata non dà indicazioni sul tipo di ransomware, ma il link .onion che vi è riportato è collegato alle operazioni di RansomEXX. Anche lo screenshot della pagina di negoziazione sembra rimandare a RansomEXX.
Questo ransomware è in circolazione dal 2018, originariamente col nome di Defray. Nel Giugno 2020 l'intera operazione ha subito un cambio nome in RansomEXX e si è specializzata in attacchi mirati contro le grandi aziende. Il loro modus operandi è chiaro: cercano un punto di accesso alla rete usando vulnerabilità della rete o credenziali rubate. Una volta ottenuto l'accesso alla rete, gli attaccanti diffondono la propria presenza più silenziosamente possibile, quindi rubano i file non criptati per organizzare la doppia estorsione (un riscatto per il decryptor, un riscatto per non vedere pubblicati e venduti online i dati rubati).
Ottenuto poi l'accesso al domain controller Windows distribuiscono il ransomware nella rete ed inizia così la criptazione di tutti i dispositivi e macchine ad essa collegati. Vittime d'eccellenza di questo ransomware sono già stati Konica Minolta, la rete del governo del Brasile, il Dipartimento dei trasporti del Texas, IPG Photonics ecc.. ma si è anche appena scoperto grazie alla polizia Postale che qualche mese fa gli stessi attaccanti hanno avuto accesso al sito del Consiglio nazionale del notariato, rubato 2 GB di dati che sono ad ora in vendita nel dark web.
Se questo è effettivamente il sample ransomware che ha colpito la Regione Lazio, il riscatto potrebbe ammontare dai 100.000 euro fino a 5 milioni di Euro: in questa fascia si collocano infatti le richieste in criptovalute che i gestori di RansomEXX hanno preteso in precedenti attacchi.
C'è però in ballo anche una seconda possibilità, ad ora supportata da pochi dettagli e dati: il ricercatore di sicurezza italiano JAMESWT ha identificato invece la famiglia ransomware in quella di LockBit, in dettaglio nella versione 2.0.
Per approfondire > Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo
In entrambi i casi si parla, comunque, di ransomware specializzati nel furto dei dati PRIMA dell'avvio della criptazione degli stessi: continuare a ripetere che i dati personali contenuti nel data center non sono stati violati, come purtroppo stanno facendo i portavoce della Regione Lazio, non solo è precoce ma sempre meno attendibile. Le 72 ore sono trascorse e, stando alle previsioni del GDPR, dovrebbero arrivare le comunicazioni agli interessati: eventuali ritardi in queste comunicazioni saranno leciti solo se giustificati propriamente.
AGGIORNAMENTO DEL 06/08/2021
"Si è conclusa la verifica su un sistema di ultimissima generazione dove era stato effettuato il backup, protetto da hardware acquistato grazie agli ingenti investimenti sostenuti dalla Regione Lazio e da Laziocrea in questi anni per la sicurezza informatica. Al termine di tutte le verifiche tecniche possiamo annunciare che gli operatori sono riusciti ad accedere ai dati del backup" ha dichiarato nella tarda serata di ieri il presidente della Regione Lazio, Nicola Zingaretti.