00[1]

Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda

mercoledì 4 agosto 2021
Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda

Col trascorrere delle ore emergono nuove informazioni e dettagli rispetto al gravissimo attacco ransomware subito dal data center dei sistemi informatici della Regione Lazio.

La situazione è ancora ben lungi da tornare alla normalità e già ieri si parlava della necessità di oltre 15 giorni per ripristinare correttamente i sistemi: d'altronde, l'unico backup dei sistemi informatici regionali era online ed ha anche questo subito la criptazione, così non può essere utilizzato per ripristinare la rete e i servizi. Inoltre, ogni tentativo di riportare online la rete termina con la riattivazione del ransomware. Zingaretti ha annunciato ieri che stanno procedendo al trasferimento dei dati necessari per i servizi sanitari essenziali verso un sistema in cloud esterno: in pratica stanno provando ad allestire un sistema informatico alternativo a quello in paralisi per l'attacco. D'altronde sono bloccati servizi sanitari di grande importanza: non solo è in blocco l'intero sistema di gestione della campagna vaccinale, ma non è neppure possibile prenotare online visite specialistiche, effettuare Pap test e mammografie ecc.. Bloccato anche il sistema di gestione del Green Pass, la possibilità di pagare bolli e di ottenere autorizzazioni sia sanitarie che edilizie.

Galeotta fu la VPN...
Le verifiche della Polizia Postale hanno portato ad individuare almeno il punto di accesso, ovvero una falla nella VPN utilizzata dai dipendenti della Regione per accedere da remoto alla rete. In dettaglio, i dati hanno portato a concentrare l'attenzione sul computer in uso ad un impiegato della Regione residente a Frosinone: l'accesso degli attaccanti alla rete è avvenuto proprio sfruttando le sue credenziali rubate. L'escalation verticale di privilegi è stato poi ottenuto grazie all'uso del famigerato trojan Emotet: a quel punto, l'accesso rubato al dipendente ha consentito tutti i privilegi necessari per eseguire operazioni più profonde nella rete, come, appunto, la distribuzione del ransomware.

Nulla di nuovo, sono migliaia i casi di attacco ransomware nel mondo in cui il punto di accesso alla rete è stato ottenuto tramite credenziali deboli o una falla nella VPN: VPN che si sono diffuse celermente e in modo caotico negli ultimi due anni, come unico sistema per garantire ai lavoratori di poter svolgere da casa mansioni che la pandemia Covid impediva di svolgere in ufficio. L'assenza dell'autenticazione a più fattori ha semplicemente spianato la strada agli attaccanti che, disponendo di username e password, non hanno neppure dovuto fare la fatica di intercettare l'OPT.

Il mistero della richiesta di riscatto
Fino a ieri Zingaretti ha continuato a definire l'attacco subito dalla regione "potente e senza precedenti" (ed è falso, come ben sanno centinaia di migliaia di aziende nel mondo), ma ha anche ribadito che non è stata formalizzata alcuna richiesta di riscatto.

L'opinione > Attacco ransomware alla regione Lazio: buongiorno Italia!

Come ha ricostruito grazie ad anonime fonti interne la redazione di Bleeping Computer, la richiesta di riscatto esiste eccome ma non è stata quantificata in denaro: la nota contiene le informazioni per contattare gli attaccanti, ma non riporta alcuna specifica richiesta in criptovalute. L'ammontare del riscatto richiesto non è quindi conosciuto ad ora, perché stando a quanto affermato dai portavoce della Regione, non ci sono contatti né trattative in corso con gli attaccanti.

La nota di riscatto "recapitata" alla Regione Lazio. Fonte: bleepingcomputer.com

Da Bleeping Computer fanno anche sapere di aver messo le mani su uno screenshot della pagina di negoziazione degli attaccanti, dove si afferma chiaramente che la Regione dovrà pagare un riscatto per poter tornare in possesso dei propri file e sistemi.

Ma di che ransomware parliamo?
C'è ancora disaccordo su quale sia la famiglia di ransomware che ha colpito la Regione Lazio: la nota di riscatto sopra mostrata non dà indicazioni sul tipo di ransomware, ma il link .onion che vi è riportato è collegato alle operazioni di RansomEXX. Anche lo screenshot della pagina di negoziazione sembra rimandare a RansomEXX.

Questo ransomware è in circolazione dal 2018, originariamente col nome di Defray. Nel Giugno 2020 l'intera operazione ha subito un cambio nome in RansomEXX e si è specializzata in attacchi mirati contro le grandi aziende. Il loro modus operandi è chiaro: cercano un punto di accesso alla rete usando vulnerabilità della rete o credenziali rubate. Una volta ottenuto l'accesso alla rete, gli attaccanti diffondono la propria presenza più silenziosamente possibile, quindi rubano i file non criptati per organizzare la doppia estorsione (un riscatto per il decryptor, un riscatto per non vedere pubblicati e venduti online i dati rubati).

Ottenuto poi l'accesso al domain controller Windows distribuiscono il ransomware nella rete ed inizia così la criptazione di tutti i dispositivi e macchine ad essa collegati. Vittime d'eccellenza di questo ransomware sono già stati Konica Minolta, la rete del governo del Brasile, il Dipartimento dei trasporti del Texas, IPG Photonics ecc.. ma si è anche appena scoperto grazie alla polizia Postale che qualche mese fa gli stessi attaccanti hanno avuto accesso al sito del Consiglio nazionale del notariato, rubato 2 GB di dati che sono ad ora in vendita nel dark web.

Se questo è effettivamente il sample ransomware che ha colpito la Regione Lazio, il riscatto potrebbe ammontare dai 100.000 euro fino a 5 milioni di Euro: in questa fascia si collocano infatti le richieste in criptovalute che i gestori di RansomEXX hanno preteso in precedenti attacchi.

C'è però in ballo anche una seconda possibilità, ad ora supportata da pochi dettagli e dati: il ricercatore di sicurezza italiano JAMESWT ha identificato invece la famiglia ransomware in quella di LockBit, in dettaglio nella versione 2.0.

Per approfondire > Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

In entrambi i casi si parla, comunque, di ransomware specializzati nel furto dei dati PRIMA dell'avvio della criptazione degli stessi: continuare a ripetere che i dati personali contenuti nel data center non sono stati violati, come purtroppo stanno facendo i portavoce della Regione Lazio, non solo è precoce ma sempre meno attendibile. Le 72 ore sono trascorse e, stando alle previsioni del GDPR, dovrebbero arrivare le comunicazioni agli interessati: eventuali ritardi in queste comunicazioni saranno leciti solo se giustificati propriamente.

AGGIORNAMENTO DEL 06/08/2021
"Si è conclusa la verifica su un sistema di ultimissima generazione dove era stato effettuato il backup, protetto da hardware acquistato grazie agli ingenti investimenti sostenuti dalla Regione Lazio e da Laziocrea in questi anni per la sicurezza informatica. Al termine di tutte le verifiche tecniche possiamo annunciare che gli operatori sono riusciti ad accedere ai dati del backup" ha dichiarato nella tarda serata di ieri il presidente della Regione Lazio, Nicola Zingaretti.

00[1]

Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)

lunedì 2 agosto 2021
Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)

Dalla nottata di ieri i sistemi informatici della Regione Lazio sono bloccati: l'attacco va avanti da oltre 40 ore e già ieri la Regione ne dava comunicazione tramite le proprie pagine Twitter e Facebook. Sono irraggiungibili ad ora il sito web della Regione, ma anche la piattaforma online per la prenotazione sia dei vaccini che dei tamponi molecolari (il portale Salute Lazio). In generale sono irraggiungibili tutti i servizi online connessi alla sanità regionale, Green Pass compreso, ma anche i servizi correlati al sistema degli appalti pubblici.

I siti web ad ora offline:

https://prenotavaccinocovid.regione.lazio.it/welcome
http://www.consiglio.regione.lazio.it/
http://www.regione.lazio.it
https://www.salutelazio.it/
https://www.salutelazio.it/campagna-di-vaccinazione-anti-covid-19

Le dichiarazioni ufficiali hanno aggiunto caos al caos: si è parlato di un "potente (?) attacco informatico", di sistemi in tilt senza però dare indicazioni chiare sulla tipologia e sui tempi di risoluzione. I dubbi sono stati spazzati via quando si è diffusa la notizia che una richiesta di riscatto in Bitcoin è arrivata nella mattinata di oggi: non è stato ad ora divulgato l'ammontare del riscatto richiesto.
Secondo l'AGI, il ransomware avrebbe colpito i sistemi sia in aree di produzione che in quelle dove sono contenuti il backup dei dati: se così è, siamo di fronte al peggior scenario possibile, quello in cui non è possibile ripristinare le reti grazie al backup. Alla Regione Lazio non resterebbe che pagare il riscatto o riuscire, ma è ormai sempre più difficile, a produrre un tool di decriptazione efficace. Altre fonti invece affermano che il backup è rimasto intatto ed è stato ripristinato, ma ad ogni tentativo di riportare online il sistema, il ransomware pare riattivarsi.

Sempre secondo AGI, gli attaccanti avrebbero avuto accesso al computer di uno degli amministratori di sistema di LazioCrea: con credenziali avanzate che hanno garantito loro i privilegi di amministrazione, gli attaccanti hanno potuto lavorare a lungo nella rete senza limitazioni "per settimane".

Ovviamente non mancano le polemiche, a maggior ragione per il fatto che la Regione Lazio rientra nell'ambito della Direttiva europea NIS e nel perimetro nazionale di cyber security: come tale, quindi, la Regione sottostà al preciso obbligo di implementare un piano di risposta ai cyber attacchi che sia così dettagliato da elencare e descrivere le procedure da seguire per mettere in campo una risposta veloce ed efficace a tutte le tipologie di attacco informatico che potrebbero mettere a repentaglio la riservatezza e l'integrità dei dati personali.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security
Per approfondire > A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano

Dalla Regione fanno sapere di aver già attivato tutte le autorità competenti e che, nel corso delle prossime ore, sarà aperto un fascicolo presso la Procura sull'incidente. Nuovamente però l'amministrazione regionale si macchia di "eccesso di difesa" dichiarando già pubblicamente, per bocca dell'assessore alla Sanità Alessio D'Amato, che "nessun dato è stato trafugato". Una affermazione difficilmente verificabile, soprattutto a pochissime ore dall'inizio e dell'attacco e del tutto inverosimile se, davvero, gli attaccanti sono dentro la rete regionale da settimane: i sistemi colpiti contengono dati personali di 7,4 milioni di persone. In generale infatti, come già più volte ribadito, un attacco ransomware va anche subito considerato come un data breach, soprattutto dopo l'introduzione della fase di furto dati prima dell'avvio della criptazione dei sistemi: un paradigma , questo, che ha fatto scuola e che ormai è parte integrante del mondo ransomware.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy