Come ormai è ben noto dalle notizie sparse nel web domenica mattina primo agosto il sito della Regione Lazio ha subito un attacco ransomware che ha disabilitato i sistemi IT incluso il portale di registrazione delle vaccinazioni “Salute Lazio” e che ha crittografato ogni file nel suo data center e ha interrotto la sua rete informatica.
“Nella notte tra sabato e domenica la Regione Lazio ha subito un primo attacco. Non sappiamo chi sia il responsabile e quali siano gli obiettivi”, ha dichiarato il presidente della Regione Lazio Nicola Zingaretti. “L’attacco ha bloccato quasi tutti i file nel data center. La campagna di vaccinazione continua normalmente per tutti coloro che hanno prenotato. Apriranno le prenotazioni dei vaccini per ora sospese nei prossimi giorni. Il sistema è attualmente spento per consentire la verifica interna e per evitare la diffusione del virus introdotto con l’attacco”.
E’ noto che i ransomware vengano utilizzati per rubare dati durante un attacco come leva nei tentativi di estorsione, eppure la regione afferma che i dati sanitari, finanziari e di budget sono al sicuro.
“C’è un potente attacco al CED regionale. Gli impianti sono tutti disabilitati compreso tutto il portale Salute Lazio e la rete vaccini. Sono in corso tutte le operazioni di difesa e di verifica per evitare l’appropriazione indebita. Le operazioni di vaccinazione potrebbero subire ritardi” affermano in un comunicato.
Il possibile attacco ransomware RansomEXX
La regione Lazio infine riceve la lettera di riscatto dove gli hacker scrivono: “Hello, Lazio!” e avvisano la regione che i loro file sono stati crittografati. La richiesta di riscatto include anche un collegamento a una pagina web oscura privata che il Lazio può utilizzare per negoziare con la banda del ransomware.
La richiesta di riscatto non indica quale operazione ha condotto l’attacco, ma l’URL ONION elencato è un noto sito Tor per l’operazione RansomEXX.
Le pagine di negoziazione di RansomEXX sono uniche per ogni vittima e, qualora gli hacker avessero rubato i dati durante l’attacco, avrebbero fornito dettagli includendo la quantità di dati rubati e gli screenshot dei file. In questo caso, la pagina di negoziazione ricevuta dalla Regione Lazio non sembrerebbe avere queste informazioni, quindi sembrerebbe che RansomEXX non abbia rubato alcun dato.
Gli attacchi di RansomEXX seguono dinamiche simili a quelle delineate da LockBit 2.0, sebbene la diffusione non ricorra a metodi innovativi come l’alterazione delle regole dei gruppi utenti. Il ransomware di RansomEXX viola una rete utilizzando vulnerabilità o credenziali rubate, per poi diffondersi attraverso i dispositivi interconnessi.
Chi è RansomEXX
La banda RansomEXX ha lanciato la sua operazione originariamente con il nome Defray nel 2018. Tuttavia, nel giugno 2020, l’operazione è stata rinominata RansomEXX, dove ha iniziato a prendere di mira più attivamente le grandi entità aziendali. Simile ad altre operazioni ransomware, RansomEXX viola una rete utilizzando vulnerabilità o credenziali rubate.
Una volta che gli hacker ottengono l’accesso ad una rete, si diffondono silenziosamente attraverso di essa rubando file per i tentativi di estorsione. Dopo aver ottenuto l’accesso al domain controller di Windows, distribuiscono il ransomware sulla rete per crittografare tutti i dispositivi.
La banda RansomEXX ha una storia di attacchi di alto profilo, tra cui le reti governative brasiliane, il Dipartimento dei trasporti del Texas (TxDOT), Konica Minolta, IPG Photonics e CNT dell’Ecuador.
Al quarto giorno di attacco ransomware al sistema informatico della Sanità laziale – come ad altre realtà strategiche italiane, tra cui Erg – è possibile indicare alcuni punti accertati e le ipotesi investigative.
I punti certi della vicenda
Partiamo dai punti confermati ufficialmente e dalle prove incontrovertibili.
- La Regione Lazio è stata colpita il primo agosto da un ransomware, chiamato Ransomexx dell’omonima gang di criminali russa, che ha criptato e quindi bloccato tutti i dati all’interno della rete compresi i servizi della piattaforma dei vaccini, che quindi al momento è offline, ma anche documenti di circa dieci anni di attività della Regione. Lo scopo di questo attacco è un riscatto. Senza questi documenti come le concessioni edilizie, ambientali, gestioni rifiuti, l’operato della Regione è fortemente compromesso.
- Impossibile recuperare subito e autonomamente questi dati, perché Regione Lazio non aveva un back up offline/offsite, cioè separato dalla rete. Il backup era online, quindi trovato dal malware e criptato anch’esso.
- Almeno i dati sanitari non sarebbero stati colpiti, come riferisce la stessa Regione Lazio, secondo cui sarà quindi possibile ripristinare i sistemi vaccinali entro la data odierna.
- Il Garante Privacy sta indagando per accertare la responsabilità. Come ha scritto Francesco Pizzetti su Twitter (ex Garante Privacy), mancanze nella tutela dei dati da parte di Regione Lazio possono portare a elevate sanzioni per la privacy.
- Negli stessi giorni, la società Engineering ha annunciato di aver subito un’intrusione (il 30 luglio). Hanno spiegato che i cybercriminali sono entrati nella loro rete trovando i dati di accesso in un loro pc presente sulla rete di un cliente, che era stato a sua volta attaccato. Dalla rete di Engineering, i criminali sono entrati in quella di Erg e hanno criptato alcuni dati. In questo caso è stato usato un altro ransomware, Lockbit 2.0, di un’altra gang (russa).
L’evolversi delle indagini
Trovare chi ha messo in ginocchio i sistemi informatici del Lazio e terrorizzato l’intero Paese sarà difficile, si tratta sicuramente di gruppi ben organizzati e capaci di cancellare le proprie tracce. Oltre a questo la nostra legislazione è ancora, colpevolmente, arretrata su questo tipo di argomenti. I migliori analisti italiani sono al lavoro da giorni, ormai, ma nelle ultime ore sono stati affiancati da donne e uomini dell’Fbi e dell’Europol.
Come ha spiegato davanti al Copasir la direttrice del Dis, il dipartimento dei nostri servizi di intelligence, Elisabetta Belloni, l’attacco è partito tramite delle credenziali VPN di un dipendente di Frosinone che lavorava per una delle agenzie della Regione, Laziocrea. L’attacco è partito dalla Germania (dopo una triangolazione con l’Austria) ma questo può significare poco. Certo è però che una volta entrati con credenziali di un amministratore di rete sono riusciti a scaricare i file contenente il malware. Come dice la stessa direttrice del DIS: “gli hacker hanno trovato terreno fertile perché la rete informatica del Lazio era, nei sistemi di sicurezza, ferma al 2008”.
La Regione ha infatti fatto sapere che la sicurezza delle proprie reti era stata affidata a un’Ati che aveva come capofila proprio Leonardo. Ma a stretto giro sono stati smentiti: “Mai avuto la gestione operativa dei servizi di monitoraggio e di protezione cyber di Laziocrea”. Certo è che a differenza di altre aziende che nelle stesse ore sono state attaccate con uno stesso (o addirittura più potente) virus, la rete del Lazio è collassata. E in Regione stanno facendo la conta dei danni. “Determinazioni dirigenziali, memorie, variazioni urbanistiche, tutto perso”, dicono, mentre sembrerebbe che gran parte de dati sanitari siano salvi, gli unici per i quali era stato fatto il back-up: la prossima settimana dovrebbe ripartire il Cup mentre già nel weekend si dovrebbe andare con due nuove piattaforme per la prenotazione dei vaccini.
Le violazioni dei dati costano alle aziende 4,24 milioni di dollari in media per ogni incidente: costi che per il settore sanitario raggiungono i 9,23 milioni di dollari ciascuno. Sono questi alcuni dei dati che emergono dall’ultimo Cost of a Data Breach Report di Ibm Security. Lo studio è basato su un’analisi di reali violazioni di dati subite da oltre 500 organizzazioni. In Italia l’indagine ha interessato 21 aziende nel 2020. Nel nostro Paese il costo complessivo delle violazioni di dati è salito a 3,03 milioni di euro e il costo per ogni informazione rubata a 135 euro, un valore quasi raddoppiato nell’ultimo decennio.
In Italia sono stati finanziati 2.5 MLN di € dal 2008 al 2010 e 1.2 MLN di € dal 2009 al 2011 per l’istituzione del Disaster Recovery e Business Continuity al fine di garantire la continuità operativa dei servizi telematici regionali e la sicurezza degli archivi elettronici. Purtroppo però, evidentemente, esiste una falla in questo sistema altrimenti la Regione Lazio avrebbe comunque potuto ricevere l’attacco ma non esserne così vittima.
“Sono entrati due mesi fa con le credenziali di un impiegato di Frosinone”
Gli hacker sembrerebbero essere entrati nel portale direttamente con le credenziali di amministratore. Le hanno rubate ad un dipendente di LazioCrea almeno 60 giorni fa. Silenti per tutto questo tempo hanno studiato il server, installando – al momento giusto come può essere il weekend quando le risorse e l’attenzione sono minori – un ransomware di ultimissima generazione.
Le indagini, però, come dicevamo continuano e ora gli investigatori hanno una pista: una traccia che porta al computer di un dipendente Lazio Crea, nella sede di Frosinone. Sembra infatti che i reati si siano concretizzati solo quando il ransomware è stato attivato sul portatile di quest’impiegato – ovviamente estraneo all’attacco – sfruttando le sue credenziali.
Rubando l’identità internet del dipendente gli hacker sono entrati nel sistema direttamente con le credenziali da amministratore e a quel punto hanno sviluppato l’attacco. Zingaretti ripete che “non è stato chiesto alcun riscatto” ma l’ipotesi che la verità non sia stata detta è la più accreditata. Ora la Regione si trova a fronteggiare dei danni non superficiali, contro dei cyber criminali che hanno studiato i nostri software per quasi 60 giorni.
Come proteggersi al meglio
Come abbiamo visto l’Italia, ferma da anni dal punto di vista della CyberSecurity, sta ricevendo ultimamente grandi attacchi del cybercrime. Regione Lazio, ERG, sono solo alcuni esempi di questi ultimi attacchi e di quanto la CyberSicurezza sia importante nel nostro mondo digitale.
Ma cosa potremmo imparare da questi avvenimenti?
Il cybercrime utilizza vari strumenti per attaccare: phishing, vulnerabilità nella rete, vulnerabili nei sistemi o negli OS, ecc. e purtroppo, nonostante i vari finanziamenti, nemmeno le grandi aziende pubbliche ne sono al sicuro.
Essere protetti in tutti questi aspetti è impegnativo, ma assolutamente possibile.
Cyberteam opera da anni nel mondo della Sicurezza Informatica e può aiutarvi ad essere protetti in tutti gli aspetti grazie a servizi come:
- Vulnerability Assessment per la ricerca di vulnerabilità nei software e OS
- Network Security Assessment per la ricerca di vulnerabilità nella rete
- Cyber Intelligence per eventuali attacchi in corso
insomma, una vera protezione a 360°!
Oltre a questo, i recenti avvenimenti ci hanno insegnato come sia molto importante rendere consapevoli dipendenti e collaboratori della grande importanza delle password: password deboli, password utilizzate in più portali, password salvate nel proprio pc…tutte queste tipologie possono essere vettori per gli attacchi hacker.
Anche qui Cyberteam può aiutarvi! Tramite le nostre campagne Spear Phishing è possibile capire quanto e dove i dipendenti siano più o meno consapevoli e tramite il servizio di Academy rafforzare la loro consapevolezza informatica.
Grazie poi a strumenti come:
- Password Intelligence per la ricerca password nei database
- Password Security Management per avere password sempre sicure, protette e conformi alle normative
- Multi-factor Authentication per un’innovativa soluzione per proteggere le password esistenti e fornire MFA che non richiede un PIN o una password
è possibile aiutare i propri dipendenti e collaboratori nel continuo evolversi del mondo delle password.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!