Un'azione partita dall'estero e realizzata da criminali esperti che molto probabilmente hanno agito da qualche paese dell'Est, puntando a monetizzare l'attacco, anche se al momento una richiesta «ufficiale» di riscatto non è arrivata. L'ombra è che possano aver agito per conto di entità statuali, il rischio è che altri enti e istituzioni possano essere prese di mira.
È stata tutta una questione di «privilegi». Di autorizzazioni acquisite - con relativa facilità - da chi è riuscito a introdursi nel sistema informatico della Regione Lazio, dopo aver carpito le credenziali di un amministratore di sistema di alto livello, per colpire sempre più a fondo. Al punto da paralizzare non solo il settore sanitario — e quindi le prenotazioni per i vaccini ma anche per qualsiasi visita medica, con Cup e Recup e la stessa campagna vaccinale — ma tutte le attività della Regione. Un blocco totale, senza precedenti, che potrebbe essere risolto, se va bene, in due settimane. A tutt’oggi ci sono interi settori che continuano a operare con funzionari che comunicano con dispositivi e mail personali, e sui loro profili social.
La falla è stata scoperta dalla Polizia postale analizzando la Vpn, la rete virtuale utilizzata per accedere a un sistema informatico da un computer remoto, come quella che hanno sperimentato molti lavoratori in smart working durante la pandemia. Le tracce degli accessi alla Rete hanno portato al computer utilizzato da un impiegato regionale che abita a Frosinone e — stando a quando ricostruito dagli investigatori, che hanno riferito tutto ieri mattina nel corso della riunione del Nucleo speciale per la cyber sicurezza — i criminali hanno utilizzato le sue credenziali per entrare nel sistema della Regione. Ma non era abbastanza. Hanno poi usato un software chiamato «Emotet», una sorta di cavallo di Troia che ha creato una breccia e gli ha dato il pieno controllo del sistema per eseguire operazioni più profonde. A questo punto tutto era pronto per il terzo passaggio, il clou dell’operazione, l’inserimento del ransomware, il programma che ha criptato i dati e chiesto il riscatto.
Cosi si cominciano a delineare i contorni dell'attacco hacker al Centro elaborazione dati della Regione Lazio che dalla mezzanotte del primo agosto ha mandato in tilt il sistema di prenotazione delle vaccinazioni anti-Covid, anche se sono ancora molti i punti da chiarire.
Le dimensioni dell’attacco non sono note, non sappiamo se davvero non ci sia stata esfiltrazione di dati personali di carattere sanitario e non si conoscono i tempi per rimettere in sesto il sistema ad oggi bloccato. In tutti questi mesi, il nostro Paese, come altri Paesi europei, era stato già aggredito da attacchi similari.
Saranno anche i pm dell'antiterrorismo ad indagare sul violento attacco hacker alla Regione Lazio. In procura a Roma ieri pomeriggio è arrivata una prima informativa della Postale.
l procuratore Michele Prestipino ha affidato gli accertamenti anche ai magistrati che si occupano dei reati informatici coordinati dal sostituto Angeloantonio Racanelli. Nel fascicolo si procede contro ignoti. Contestati vari reati tra cui accesso abusivo a sistema informatico e tentata estorsione.
Il procedimento coinvolge i due pool di pm alla luce del fatto che l'attacco, ancora in corso, ha colpito un sistema informatico complesso come quello del Lazio anche dal punto di vista del profilo dei dati sensibili e personalità dello Stato a cominciare dal presidente della Repubblica Sergio Mattarella e del premier Mario Draghi.
"Entro 72 ore verranno ripristinate le funzionalità per le nuove prenotazioni di vaccino, con le medesime modalità di prima. È in corso una trasmigrazione e la deadline è quella delle 72 ore", ha detto a Sky TG24 Alessio D'Amato, assessore alla Sanita' della Regione Lazio, parlando degli effetti dell'attacco hacker. "Le somministrazioni in questi giorni non si sono mai interrotte - ha aggiunto -, secondo le prenotazioni precedenti che erano state prese, per cui non c'è mai stata l'interruzione della campagna vaccinale".
"Abbiamo visto le notizie sui cyber-attacchi al portale salute e al network sulle vaccinazioni della Regione Lazio. La Commissione europea prende la questione molto sul serio. Ci stiamo sforzando di assicurare uno spazio on-line resiliente e sicuro contro" gli attacchi degli hacker. Lo ha detto una portavoce dell'Esecutivo comunitario, ad una domanda. La portavoce ha spiegato che col Covid i cyber-attacchi al settore salute sono aumentati. "La Commissione europea sta intervenendo in vari modi per garantire la cybersicurezza" ha poi aggiunto, riassumendo iniziative e misure di finanziamento.
Nessuna matrice no-vax dietro l'attacco hacker al portale dei vaccini della Regione Lazio, ma un'azione da "cybercrime puro". E' l'analisi di Gabriele Faggioli, Presidente del Clusit, l'Associazione italiana per la sicurezza informatica, e responsabile scientifico dell'Osservatorio Cybersecurity & Data Protection del Politecnico di Milano.
"L'idea che ci siamo fatti è che l'operazione si configuri esclusivamente come criminale, non legata ad aspetti di tipo ideologico", dice l'esperto all'ansa, spiegando che non è da escludere la presenza di una talpa, una persona che avrebbe facilitato l'ingresso dei criminali nei sistemi informatici.
"Non ci sono evidenze di attività di social engineer e phishing, quindi dietro tutta la storia potrebbe esserci una persona che conosce bene i sistemi della Regione, con una consapevolezza tecnica ben specifica. Non sorprenderebbe dunque l'esistenza di una talpa, anche esterna. Visto l'interesse sui vaccini, ulteriori attacchi sono attesi un po' ovunque, dentro e fuori dal Paese", sottolinea Faggioli. L'attacco subito dal Centro elaborazione dati del Lazio (Ced) è stato del tipo "ransomware cryptolocker", un virus che si diffonde come un file o un semplice allegato di posta elettronica apparentemente inoffensivo ma che una volta scaricato cripta i file nel sistema. Gli hacker poi chiedono un riscatto ("ransom") per sbloccare gli eventuali dati. Un trend in deciso aumento dallo scoppio della pandemia. Secondo gli esperti del Clusit, la particolare minaccia informatica ha portato a danni economici globali che ammontano a due volte il Pil italiano.
Un ransomware un codice che si installa nel computer nel momento in cui viene scaricato un file infetto e che 'proteggè con una crittografia tutti i contenuti che incontra sulla sua strada. File, cartelle, documenti. Appena un destinatario apre un allegato maligno o fa clic su un link compromesso, il malware viene scaricato nel sistema dell'utente e comincia il suo lavoro di crittografia dati.
Non è il primo caso: quello più eclatante successe nello scorso mese di maggio, all'americana Colonial Pipeline. Il software infettante (malware) ha in questo caso una caratteristica in piu': infetta, blocca i sistemi crittografandoli, e l'attaccante chiede un riscatto per togliere il disturbo (ransom, in inglese, ovvero riscatto).Al momento, spiegano gli esperti, per liberarsi da un ransomware, in assenza di backup, l’unico modo è pagare il riscatto. E il backup sarebbe compromesso.
"L'attacco informatico subito dai nostri sistemi è stato un attacco programmato, organizzato e molto potente, che al momento non ci consente di poter stimare una tempistica per la ripresa delle attività di prenotazione e di tutte le attività digitali legate alla campagna di vaccinazione" ha detto l'assessore regionale alla sanità del Lazio, Alessio D'Amato. "Voglio comunque tranquillizzare tutti sul fatto che la campagna di vaccinazione anti-Covid nel Lazio procederà senza interruzioni - ha proseguito - al momento abbiamo 250mila utenti già prenotati da qui fino al prossimo 13 agosto, e queste prenotazioni verranno evase senza problemi".
"E' un attacco hacker molto potente, molto grave. E' tutto out. E' sotto attacco tutto il ced regionale". A dirlo l'assessore regionale alla Sanità Alessio D'Amato. "E' un attacco senza precedenti per il sistema informatico della Regione" ha aggiunto.
Che si tratti di un serio problema è il parere di uno dei più noti esperti di cybersecurity e intelligence, l'ingegner Pierluigi Paganini: "Le dichiarazioni del presidente Zingaretti confermano la gravità dell’accaduto. Si è trattato di un attacco ransomware che ha compromesso i sistemi del Centro elaborazione dati e di prenotazione dei vaccini. In risposta all’incidente non è stato possibile far altro che disconnettere i sistemi dalla rete per evitare che la minaccia si propagasse all’interno dell’infrastruttura colpita.
Si tratta di una misura estrema ed il fatto che a distanza di oltre 24 ore non si sia riuscito a ripristinare l’infrastruttura colpita evidenza problemi nei processi di continuità operativa e disaster recovery che devono essere adottati per garantire che un servizio essenziale possa continuare anche in presenza di un evento avverso come un attacco cibernetico di vaste proporzioni, ha spiegato Paganini
Sui possibili autori dell'attacco, c'è ancora molto mistero e si rincorrono ipotesi non confermate né smentite. "Nell’ambiente circolano voci circa la compromissione di una importante azienda italiana fornitrice di servizi IT che ha tra i suoi clienti la Regione Lazio" afferma Paganini. "Parliamo di un colosso, e se la notizia sarà confermata potremo scoprire presto che altre grandi realtà clienti di questa azienda potrebbero essere state prese di mira.
Quello che mi preoccupa è il silenzio assordante attorno all’incidente: comprendo bene che ci sono indagini in corso, ma non mi risulta che anche in cerchie ristrette composte dalle principali aziende nazionali stiano circolando informazioni utili a prevenire che questo attacco possa avere ben altre conseguenze.", conclude Paganini.
Fonti ansa / agi / Rai / e varie testate