“L’attacco a Lazio Crea potrebbe essere esito di un attacco molto più grande. Da questo attacco gli hacker sarebbero stati in grado di entrare nel network di Lazio Crea”. A dirlo è Alberto Pelliccione, ceo di ReaQta, un’azienda di sicurezza informatica e intelligence per la difesa attiva. Nel video realizzato da Matteo Flora, professore a Contratto in Corporate Reputation presso l’Università degli Studi di Pavia, Fondatore di the Fool, società di reputazione digitale, il ceo di Reacta fa un’analisi dell’attacco perpetrato ai danni di Lazio Crea e della Regione Lazio.
La versione di Engineering
In una nota del 7 agosto, la società di servizi digitali Engineering ha fatto sapere che “dopo la prima informativa prontamente rilasciata in seguito alla registrazione dell’evento dell’ultima settimana di luglio, le approfondite verifiche da subito iniziate, nella notte del 5 agosto hanno permesso di rilevare una possibile compromissione di credenziali di accesso ad alcune VPN di clienti, subito avvertiti individualmente. Sebbene si ritenga non corrano ulteriori rischi, sono stati invitati ad eseguire il cambio password degli account supportati dai nostri team segnalandoci ogni sospetto di utilizzo inappropriato di nostre credenziali, e lo stesso invito lo stiamo inoltrando in queste ore a tutti i clienti. Ad oggi non vi è alcuna prova di ulteriori attività rispetto a quelle già note, ma come è dovuto davanti a eventi complessi, proseguiranno ulteriormente le investigazioni su quanto accaduto con il supporto di Kaspersky, leader mondiale in ambito Cybersecurity”.
“Si ribadisce nuovamente”, prosegue la società, “che le ulteriori informazioni riportate sono legate all’evento di cui la Società aveva già dato comunicazione e su cui non c’è alcuna evidenza di un collegamento con quanto avvenuto alla Regione Lazio”.
La cybersicurezza dei dati dei laziali a Leonardo
La cybersicurezza delle informazioni dei cittadini laziali è affidata al gruppo Leonardo. “Nel 2018 la regione Lazio ha aderito a una convenzione, rinnovata negli anni, di Consip con una Ati con capofila il gruppo Leonardo. La convenzione ha come oggetto esclusivamente servizi di governance nell’ambito della progettazione di un Security Operation Center per definire processi e procedure e offrendo supporto anche nell’ambito di ciò che attiene alla normativa sulla protezione dei dati personali”, ha scritto la regione in una nota.
La precisazione di Leonardo
In merito alla convenzione con la Regione Lazio, Leonardo, interpellata in merito, ha chiarito di non aver mai avuto la gestione operativa dei servizi di monitoraggio e di protezione cyber di Lazio Crea ma di aver erogato esclusivamente servizi di governance per la progettazione di un Security operation ventre (Soc) e nello specifico per definire processi e procedure nonché supporto per quanto riguarda la normativa sulla protezione dei dati personali. Leonardo spiega anche che, su richiesta di Lazio Crea, è stata coinvolta, attraverso il Cyber Crisis management team, in operazioni di recovery post attacco informatico.
Hacker all’interno da almeno due mesi
Secondo i due esperti di sicurezza informatica gli hacker invasori erano all’interno dell’infrastruttura informatica di Lazio Crea da almeno due mesi. “Il tempo in cui loro sono all’interno dell’infrastruttura serve a capire come funziona l’’infrastruttura e dove sia più vulnerabile – dice il Alberto Pelliccione – Esistono operazioni in cui l’attaccante è molto rapido e sta dentro 4-5 giorni, a volte invece sta dentro addirittura un anno. Restano dentro perché hanno necessità di fare un mapping dell’infrastruttura e dunque di capire quanto è estesa, dove sono i server che contengono i dati, dove sono server di backup, come vengono effettuati i backup, come accedere a questi backup perché è fondamentale per loro mettere off line oppure distruggere i backup prima di compromettere l’infrastruttura”. Quindi quando gli hacker sferrano i loro attacchi hanno un’idea molto precisa di come funziona l’infrastruttura. “Poi quando l’attacco parte automatizzano questo processo in modo da colpire più macchine possibile alla più alta velocità possibile”, aggiunge.
I predator: gli hacker che rubano e vendono le credenziali di accesso ai server
I moderni attacchi informatici sono frutto di una “catena di montaggio” formata da diverse tipologie di hacker. “Ci sono i cosiddetti “predator” che trovano il primo accesso all’infrastruttura e poi lo vendono, non per forza in forma esclusiva – dice ancora Alberto Pelliccione -. Chi lo acquista può avere diverse identità, possono essere gruppi che fanno spionaggio e altri che fanno ransomware. Non sempre c’è un singolo hacker che fa tutto”. Nel caso dell’attacco alla Regione Lazio “forse c’è stato un accesso iniziale, venduto a un gruppo di ransomware che a loro volta erano affiliati a un gruppo di ransomware che si sono agganciati all’attacco”.
Nessuna conseguenza dall’attacco alla Regione Lazio
Al momento non ci sono state conseguenze all’attacco che dal 1° agosto ha interessato la Regione Lazio. L’ultimatum è scaduto alla mezzanotte del 7 agosto ma la pagina di rivendicazione che avrebbe fatto scattare il countdown non è più raggiungibile. La polizia Postale sta proseguendo le verifiche perché il rischio è legato alla possibilità che alcuni dati carpiti dai pirati telematici possano finire nel dark web.
Le rassicurazioni dell’esperto sul non pagamento del riscatto
https://twitter.com/cgiustozzi/status/1423334733489004553
I dubbi sul pagamento del riscatto
I dubbi sul pagamento di un riscatto restano. “Il meccanismo è abbastanza consolidato: si fa l’attacco, si danno alla vittima alcuni giorni per la trattativa, se la vittima risulta una vittima complicata, non vuole trattare oppure è ostica alla negoziazione a quel punto si pubblica l’advertisement sul sito del ransom – aggiunge Alberto Pelliccione -. Spesso e volentieri c’è un meccanismo di pushing mediatico che si sviluppa su Twitter o su LinkedIn dove appaiono delle persone che chiedono all’azienda se sono stati compromessi. Quindi c’è un meccanismo di pressione che viene fatto sull’attore”. Se la negoziazione non va avanti “si pubblica la vittima senza il dato, si dà un ultimatum e se la vittima continua a non pagare il dato viene rilasciato. Quindi direi che se il dato non viene pubblicato in genere, non sempre, ma vuol dire che il riscatto è stato pagato”.
Solo una nota a margine: queste sue affermazioni sono inconciliabili.
E sarà facile vedere se hanno o meno pagato il riscatto: se non escono i dati l’hanno pagato.
Punto.Comunque video in arrive, seguite questo thread. pic.twitter.com/gwihPkGyut
— Matteo G.P. Flora (@lastknight) August 6, 2021
Il funzionamento del RansomEXX
L’attacco cibernetico alla Regione Lazio è stato perpetrato dal ransomware RansomEXX che, come dice il prof. Matteo Flora, funziona in questo modo: “Se hanno cifrato qualcosa si può acquistare una chiave per decifrare o una chiave per decifrare e evitare che vengano pubblicati i dati. Se non verranno pubblicati i dati sappiamo che con una buona certezza qualcuno ha deciso di pagare il riscatto”.
Articoli correlati
Le news su Bianca Berlinguer, Bima (Crt), Carrozza, Fassino, Open di Mentana, Palenzona e non solo
Ecco top manager e giornalisti alla corte di Meloni
Ecco come i conti in rosso di Boeing battono le attese
Tutti i sistemi di attacco e difesa aerea di Israele e Iran
