TwitterFacebookYoutubeLinkedInInstagramRSS

Podcast FOCUS

Newsletter

Tutti i guai informatici della Regione Lazio. Il parere degli esperti

Ecco perché gli analisti di cybersecurity non sono della stessa opinione del presidente della Regione Lazio, Zingaretti, che ha parlato di "attacchi di stampo terroristico".

Dal 1° agosto sono in corso alla rete informatica della Regione Lazio, l’ultimo è avvenuto nella notte. L’hacker ha messo ko il sito della Regione, quello del Consiglio regionale e il portale di prenotazione dei vaccini contro il Covid-19.

Cos’è un ransomware

Responsabile dell’attacco è un ransomware criptolocker, un tipo virus informativo che limita l’accesso ai file e alle funzionalità presenti nel dispositivo che infetta e ne prende il controllo. Il malware di solito – spiegano gli addetti ai lavori – richiede un “riscatto” da pagare per rimuovere la limitazione e far riprendere tutte le funzionalità. Il ransomware è un codice che si installa nel computer nel momento in cui viene scaricato un file infetto e che blinda con una crittografia tutti i contenuti che incontra sulla sua strada. Il ransomware responsabile dell’attacco alla Regione Lazio è andato talmente in profondità che, oltre ai dati, ha criptato anche il backup, la copia di riserva. Riavviando il sistema c’è il rischio di perdere tutto e la Polizia Postale non ha potuto nemmeno aprire la comunicazione degli hacker con la richiesta del riscatto che accompagna sempre questo genere di ricatti.

L’attacco che arriva dall’estero

Secondo gli esperti della Polizia postale l’attacco che ha preso di mira il Ced (Centro Elaborazione Dati) della Regione Lazio arriva dall’estero. Al momento non è stata ancora circoscritta l’area geografica da cui sono partiti i malware che hanno infettato i server regionali. È il primo tassello degli accertamenti che la polizia postale sta svolgendo in coordinamento con la Procura di Roma. Gli agenti stanno indagando anche sulla richiesta di un ingente riscatto in bitcoin. Secondo le prime rilevazioni non ci sarebbe stato un travaso di dati sanitari, anche se i pirati sarebbero comunque entrati in possesso di diversi dati anagrafici. Non sarebbe stata toccata l’infrastruttura informatica che riguarda il bilancio e la protezione civile.

Fabio Ghioni: “Nessuna azione terroristica, forse la disattenzione di un dipendente”

Il presidente della Regione Lazio, Nicola Zingaretti, ha parlato di attacco terroristico («Stiamo difendendo in queste ore la nostra comunità da attacchi di stampo terroristico. Il Lazio è vittima di un’offensiva criminosa, la più grave mai avvenuta sul nostro territorio nazionale».) ma gli esperti informatici non sono d’accordo. “È un atto di hackeraggio, ma non c’è alcuna azione terroristica dietro, alcun interesse geopolitico, né alcun desiderio di sabotare le istituzioni. Non c’entrano i No Vax né il Covid”. A dirlo all’AdnKronos è stato Fabio Ghioni, esperto in sicurezza informatica e tecnologie non convenzionali, “re degli hacker” ex capo del Tiger Team di Telecom coinvolto nello scandalo Simsi-Telecom ma uscitone indenne. “Può capitare a chiunque e la polizia postale conosce perfettamente questo fenomeno. Probabilmente la disattenzione di un dipendente ha causato tutto ciò”, ha continuato Ghioni. Il virus utilizzato sarebbe “un malware che dal 2007 usano degli hacker dal Marocco, dalla Tunisia, dall’Algeria con richiesta di denaro. Dal 2015 i riscatti vengono chiesti in bitcoin. Questo virus cripta i contenuti del pc e non ha chiave di sblocco: anche chi paga non può poi più sbloccare nulla”. L’infezione potrebbe essere avvenuta nel corso di una navigazione non autorizzata da un pc della Regione. “Navigando per esempio su un sito porno o d’azzardo, si clicca involontariamente su un popup con dentro il malware e il gioco è fatto – ha continuato l’esperto -. Inoltre, è possibile installarlo involontariamente anche scaricando un programma gratuito da dei siti oppure cliccando su un link ricevuto per posta da una mail che sembra essere quella di un amico o della propria banca ma in realtà è uno spam. I dipendenti pubblici dovrebbero fare un corso per non andare in certi siti e per sapersi comportare sul web”.

Barberio: “Attacco terroristico? Lo dice solo Zingaretti”

Anche per Raffaele Barberio, fondatore di Key4biz.it, portale di informazione su digital economy e tecnologia, non si tratta di terrorismo. “Nessuna delle istituzioni preposte alla vigilanza e alla difesa da atti di terrorismo ha detto alcunché”, ha detto il presidente di Privacy Italia e direttore dell’International Cybersecurity Observatory. “Se Zingaretti avesse ragione sarebbe un fatto di enorme gravità che metterebbe a repentaglio l’intera comunità nazionale – continua Barberio -. Ma Zingaretti non ci dice nulla sulla fonte delle sue informazioni e insiste nello spargere terrore su matrici che potrebbero inevitabilmente essere di vario tipo. Fondamentalismo arabo? Nuclei armati esteri? Gruppi nazionalistici armati di altri Paesi? Ce lo dica….”. Dubbi ci sono anche sull’origine geografica di questo attacco. “Zingaretti ci dice che l’attacco proviene “…da un Paese estero…”, anzi dalla Germania – continua il direttore Barberio nel suo editoriale -. Ma chi lo ha appurato e come si fa ad appurare con certezza la provenienza geo-referenziata di un attacco in così poco tempo e in modo affidabile?”.

La legge che istituisce l’Agenzia Nazionale di Cybersicurezza

Barberio sottolinea che ’attacco è avvenuto “nei giorni in cui si sta convertendo in legge l’atto che istituisce l’Agenzia Nazionale di Cybersicurezza, un atto importante per mettere in maggior sicurezza il Paese e i suoi dati”. E il timore è che il clima di paura intorno generato dall’attacco informatico ai server laziali “serva a legittimare procedure in deroga rispetto ai piani ordinari di bandi di gara per il Cloud della Pubblica Amministrazione” perché “non c’è alcuna emergenza e le procedure del Cloud nazionale devono procedere come previsto, per assicurare allo Stato il controllo dei dati dei cittadini”. Al momento è il Dipartimento per le Informazioni per la Sicurezza, vertice dell’intelligence italiana, è (e lo sarà fino all’entrata in esercizio della Agenzia Cyber) l’organismo competente a coordinare le attività volte a proteggere anche da attacchi informatici. “Se c’era l’Agenzia sarebbe successo ugualmente?” si domanda Umberto Rapetto generale in congedo della Guardia di Finanza e docente presso l’Università di Genova

Giustozzi: “Confermo attacco criminale”

Anche Corrado Giustozzi, uno dei massimi esperti italiani di cybersecurity, afferma che il rischio terrorismo non esiste. “Confermo il ransomware e confermo che l’attacco è di matrice puramente criminale: nulla di ideologico, niente novax o anonymous come qualcuno ha scritto – dice Giustozzi -. Pura e semplice richiesta di riscatto. Inoltre il ransomware è stato inoculato direttamente sui sistemi mediante un’intrusione chirurgica su un Pc da cui è stata fatta escalation. Niente email di phishing o social engineering: si è trattato di un attacco alle macchine e non alle persone, fatto con l’aiuto di qualcuno che conosce bene i sistemi di Regione”.

Un attacco con finalità economica

Niente terrorismo ma richiesta di denaro, anzi bitcoin. Ne è convinto anche l’avvocato Stefano Mele, professionisti esperto in materia di ICT. “Si tratta di un attacco criminale con intento meramente economico – dice l’avvocato Mele, partner dello studio legale Gianni & Origoni, a Formiche.net -. È un attacco criminale molto grave, che conferma un trend che vede il settore della sanità bersaglio privilegiato degli attacchi cibernetici ormai dallo scorso anno”. Il giurista ricorda inoltre che nell’aprile 2020 fu resa pubblica la notizia di una riunione del Nucleo sicurezza cibernetica, presieduto dal vicedirettore generale del Dis Roberto Baldoni, in seguito ad alcuni attacchi informatici contro le strutture ospedaliere italiane (San Raffaele di Milano e Spallanzani di Roma).

Ransomware lockbit 2.0: le ipotesi del riscatto

Il ransomware utilizzato dovrebbe essere del tipo Lockbit 2.0. Matteo G.P. Flora, professore a Contratto in Corporate Reputation presso l’Università degli Studi di Pavia, Fondatore della Società Leader di Reputazione Digitale, su Twitter assicura che con quel tipo di virus la richiesta di bitcoin è automatica. E inoltre l’attacco è stato perpetrato al Ced della Regione, gestito da un’azienda esterna. Dunque la richiesta economica non sarebbe stata diretta verso la Regione.

Il 96% dei computer della PA a rischio

Il ministro per la transizione digitale e l’innovazione digitale Vittorio Colao on tempi non sospetti aveva detto che il 96% di computer della pubblica amministrazione è a rischio. “Un dato che fa riflettere – dice Stefano Zanero, docente di sicurezza informatica al Politecnico di Milano, al Fatto Quotidiano -. Tuttavia non dimentichiamo che, nel 2017, l’intero sistema sanitario britannico (Nhs) fu messo in ginocchio dal malware“WannaCry”. Aggiungo che la sanità è di per sé un sistema particolarmente esposto e difficile da difendere. Gli utenti connessi sono tanti e quindi le porte di accesso sono numerose”. Eppure i dati presenti nel sistema sanitario italiano non dovrebbero essere particolarmente appetibili a fini economici. “In Europa e in Italia limitato, negli Stati Uniti più alto visto il ruolo che le assicurazioni hanno nel sistema sanitario – continua il prof. Zanero -. Nel momento in cui nel sistema viene immessa una componente economica il prezzo sale. Per un assicuratore, avere informazioni riservate sullo stato di salute di chi deve sottoscrivere una polizza è, ovviamente, una “ricchezza”. Ciò non toglie poi che, ovunque, ci possa essere un disagio a livello personale nel sapere che qualcuno ha conoscenza delle mie condizioni sanitarie, indipendentemente dal fatto che sia in salute o meno”.

Articoli correlati

Back To Top