L'OMBRA DEI RUSSI SUGLI ATTACCHI ALLA REGIONE - NEGLI ULTIMI MESI MOLTE REALTA' ITALIANE SONO STATE OGGETTO DI CYBERCRIMINALI - IL RAMSONWARE E' TRA GLI STRUMENTI PIU' DIFFUSI E DANNOSI: QUELLO CHE HA OBBLIGATO LE AUTORITA' LAZIALE A SPEGNERE TUTTI I SISTEMI INFORMATICI SEMBREREBBE IL LOCKBIT 2.0, PROGETTATO PER RUBARE LE INFORMAZIONI SENSIBILI - HA COLPITO IL CUORE DELLA SANITA', E' PROGETTATO PER LASCIARE INDENNI I PAESI DELL'EST EUROPA E LE GANG CHE LO HANNO UTILIZZATO FINORA SONO...
Arturo Di Corino Bruno Ruffilli per "la Stampa"
NICOLA ZINGARETTI - CONFERENZA STAMPA SU ATTACCO HACKER
L'attacco ransomware ai sistemi informativi della Regione Lazio non è il primo e non sarà l'ultimo nel nostro Paese. Cominciato nella notte tra sabato e domenica, è stato così grave da bloccare le prenotazioni per la vaccinazione anti-Covid di una delle regioni che procedono più velocemente e questo ha fatto subito gridare al complotto.
Criptovalute per riavere i dati Lo strumento usato è un ransomware, un software malevolo che blocca l'uso dei dati e dei sistemi compromessi fino al pagamento di un riscatto (ransom, da cui il nome). Il ransomware può funzionare come un lucchetto che impedisce l'accesso a tutti dati, o cifrarne solo alcuni e renderli inutilizzabili, dopo che gli attaccanti li hanno copiati o distrutti.
I criminali quindi contattano le vittime e assicurano che dopo il versamento del riscatto tutto tornerà alla normalità. Il riscatto è di solito commisurato alle possibilità economiche dell'azienda e viene richiesto in criptovalute, monete digitali più difficili da tracciare di quelle comuni. Di norma i criminali tendono a mantenere la loro parola, costruendosi una sorta di buona reputazione che permette loro di mantenere vivo il business.
Tuttavia il pagamento non costituisce mai una garanzia di riavere i dati: può succedere che le vittime non ricevano i codici per sbloccare file e sistemi oppure finiscano in liste di pagatori scambiate nei forum del Deep Web, trasformandosi così in prede abituali. E non c'è alcuna garanzia che i dati ottenuti illegalmente non siano comunque utilizzati.
Il software in affitto Negli ultimi mesi molte realtà italiane sono state oggetto di questi attacchi: il settore tessile, manifatturiero, della meccanica di precisione, della motoristica e dell'alimentare, aziende legali e assicurative. Le aree geografiche più colpite sono state il Nord-Ovest, la motor valley e la food valley nella Pianura padana. L'anno scorso erano stati presi di mira campioni dell'industria nazionale come Enel, Carraro, Campari Group.
I cybercriminali hanno nomi singolari che trasferiscono ai loro strumenti e viceversa: Avaddon, Conti, Egregor, Maze, DoppelPaymer, REvil, Darkside eccetera. Gli ultimi due sono saliti alla ribalta per aver bloccato l'erogazione di energia in Texas e la distribuzione delle carni della multinazionale JBS.
Il ransomware è tra gli strumenti di cybercrimine più diffusi e più dannosi. Secondo l'ultimo rapporto Ibm, per le aziende italiane il costo medio di un attacco è passato da 3,19 a 3,61 milioni di dollari, un aumento del 13,5%. Ma il record spetta agli Usa, con oltre 9 milioni di dollari. Così i sindaci di decine di comuni americani hanno stretto un patto contro i ransomware per decidere di non pagare riscatti ed evitare di incentivare queste aggressioni.
Forse l'aiuto di una talpa Il ransomware che ha obbligato le autorità laziali a spegnere tutti i sistemi informatici sembrerebbe il Lockbit 2.0, un malware progettato per esfiltrare, cioè rubare, le informazioni sensibili immagazzinate in un dispositivo infetto, che sia un computer o un server. In genere viene attivato quando si cliccano documenti sbagliati o link nelle email, soprattutto quelle che arrivano da mittenti di cui ci fidiamo. E potrebbe aver colpito il cuore della sanità laziale passando attraverso l'account di un fornitore, forse - ma siamo nel terreno delle ipotesi - anche con il contributo di una talpa.
La nuova versione di Lockbit, aggiornata poche settimane fa, è uno strumento criminale tra i più efficienti. Al pari di altri ransomware simili, viene distribuito come software as a service, cioè come «software a consumo», o in affitto: realizzarlo è difficile, ma può usarlo chiunque abbia un minimo di competenza informatica.
Il software è ingegnerizzato per non colpire i Paesi dell'Est Europa, e le gang che finora lo hanno impiegato per colpire l'Italia sono spesso di origine russa. Anche un precedente attacco di Lockbit, risalente al 22 giugno nei confronti dell'azienda energetica Erg, ci conduce a un indirizzo russo.
Ma le preoccupazioni per questo attacco non finiscono qui. Mentre fino a qualche tempo fa le gang del ransomware avevano dichiarato che non avrebbero colpito aziende e servizi sanitari, l'episodio della Regione Lazio apre uno scenario nuovo e pericoloso. Rubare i dati vaccinali di una popolazione, infatti, potrebbe avere un valore non solo monetario.
