Analisi

Ecco perché l'attacco hacker alla Regione Lazio è solo l'inizio

(ansa)
Sarebbe stata colpita una grande realtà informatica italiana che gestisce molte attività legate alla sanità digitale, quindi nelle prossime ore l'entità del danno potrebbe apparire più vasta. Oggi quello dei ransomware è un business, con tanto di contratti e assistenza clienti
2 minuti di lettura

L’attacco hacker alla Regione Lazio è stato portato a segno utilizzando un ransomware. Un attacco che mira a bloccare i sistemi informatici, cifrandoli e rendendolo inutilizzabili fino al pagamento di un riscatto (il ransom, in inglese). Così, mentre proseguono le investigazioni, gli esperti hanno già dato il loro vaticinio. Ma, a parte le notizie trapelate dalla Regione Lazio e non confermate, non si conosce l’entità del riscatto che sarebbe stato richiesto.

L’estensione
L’attacco comunque non riguarderebbe solo la Regione e i sistemi di prenotazione vaccinale ma diverse aziende italiane. E proprio da una di queste sarebbe incominciato nel giugno scorso. Si tratterebbe di una grande realtà informatica italiana che gestisce in full outsourcing molte attività legate alla sanità digitale, ossia un’azienda esterna i cui operatori hanno privilegi di amministrazione sui sistemi informativi, come quelli regionali. Operatori che, secondo indiscrezioni di corridoio, sono essi stessi sotto attacco insieme a tutta la loro azienda, tanto da dover resettare i propri account di posta elettronica e attivare l’autenticazione a due fattori, quella con due password per capirci. Non sarebbe quindi stato un attacco mirato al sistema sanitario regionale.

Soldi sì, ideologie no
In base alle prove che abbiamo raccolto, prove indiziarie e da verificare col passare dei minuti, visto che gli investigatori non si sbottonano, il ransomware indiziato sarebbe del tipo Lockbit 2.0, una versione aggiornata poche settimane fa del malware Lockbit, attualmente il più veloce e pericoloso tra quelli che nel Darkweb vengono venduti secondo la modalità “as a service”, cioè come i software legittimi, pagati a modulo o a consumo, una specie di affitto per lo strumento criminale.

E quella criminale è esattamente la pista da seguire secondo le nostre fonti, una pista confermata da Corrado Giustozzi, uno dei maggiori esperti italiani di cybersecurity, secondo cui gli autori non sarebbero no-vax o Anonymous italiani e l’attacco non avrebbe motivazioni ideologiche, ma solo estorsive, per fare soldi, insomma. Una tesi ipotizzata con un tweet dal docente di cybersecurity del Politecnico di Milano Stefano Zanero.

Cosa è successo
Ancora da verificare anche la prima ricostruzione dell’accaduto secondo cui sarebbe stata violata l’utenza di un alto dirigente dei datacenter della Regione Lazio da cui sarebbe poi partita la cifratura dei sistemi informativi sfruttando le credenziali acquisite. Secondo Giustozzi l’attacco non sarebbe frutto di una campagna di malspam (invio di email malevole volte a rubare accessi e credenziali) iniziata cliccando su un link sbagliato grazie alla tattica fraudolenta del phishing o dello spear phishing (la pesca strascico o mirata di dati personali), perché secondo l’esperto, docente universitario e PhD honoris causa, “il ransomware è stato inoculato direttamente sui sistemi mediante un’intrusione chirurgica su un PC da cui è stata fatta escalation (l’acquisizione di sempre maggiori privilegi d’accesso, nda).” L’attacco, secondo le prove indiziarie raccolte finora, sarebbe quindi originato da un punto centrale e la Regione sarebbe solo la quarta realtà coinvolta. Per ora. “Hanno curiosato, copiato database, poi avviato il ransomware” sostiene una fonte qualificata che ha parlato con noi e che per motivi professionali vuole mantenere l’anonimato.

Il business dei crimini informatici
Lockbit, la gang criminale che ha creato il ransomware che ne porta il nome, sul proprio sito nel Darkweb offre un articolato sistema di affiliazione, per consentire ad altri criminali informatici di usare il loro software e guadagnarci. Mentre scriviamo registriamo qualche difficoltà di collegamento al loro sito usando un Tor browser, cioè un browser adatto ad accedere agli hidden services su cui poggiano i siti nascosti della rete TOR (The Onion Router, la “rete a cipolla”). Pertanto il rischio immediato è che, sull’onda del successo di questo attacco ransomware, altri soggetti vorranno “affittare” il software malevolo, aprendo così uno scenario completamente nuovo e ancora più pericoloso. I gruppi ransomware si creano e si disfano a piacere, comportandosi come aziende legittime con tanto di customer care per gestire le richieste delle vittime sui pagamenti e i tempi della decifrazione dei sistemi bloccati. Somigliano a delle startup che si fanno finanziare, crescono, creano nuovi prodotti, e poi vendono rami d’azienda, ne creano di nuove in seguito alle “cessioni societarie” o ne avviano altre come “forks” cioè sviluppando in proprio l’evoluzione ulteriore del software originario, malevolo in questo caso.