L’assenza di misure di sicurezza nei servizi della Regione è più grave di quanto sembri
Una password semplice da scovare, l’assenza di un protocollo di autenticazione a due fattori, poche precauzioni da parte degli impiegati. Tre semplici elementi sono bastati a mettere in ginocchio una Regione intera.
Ma procediamo con ordine. Dopo aver bloccato totalmente la piattaforma vaccinale e aver compromesso quasi il 70% dei dati dei cittadini registrati, i cybercriminali che hanno attaccato il CED della Regione Lazio hanno richiesto un riscatto in bitcoin. Ma come è potuto succedere tutto questo?
Un sacco di impiegati utilizzano tutt’ora i loro dispositivi personali per la navigazione.
È ciò che emerso dalle analisi della Polizia postale che, analizzando la VPN utilizzata, è risalita fino al computer utilizzato da un impiegato regionale che abita a Frosinone. È notizia di poche ore fa, inoltre che all’orario dell’attacco a utilizzare il computer (e quindi a “spianare la strada” agli hacker), era il figlio del povero impiegato. Stando a quanto riportato, i malfattori avrebbero utilizzato le sue credenziali per entrare nel sistema della Regione.
Da qui, è stato poi utilizzato un software, “Emotet“.
Che cos è Emotet
Secondo quanto riportato dal centro risorse di Kaspersky, Emotet è sostanzialmente un trojan, atto a spiare dati privati sensibili, che inganna i gli anti-virus installati e, una volta infettati i dispositivi, si diffonde come un worm, infiltrandosi in altri computer della rete.
Tendenzialmente viene diffuso tramite e-mail di spam, contenenti link dannosi o documenti già infetti. Purtroppo per gli utenti meno esperti o meno attenti, le e-mail usate per diffondere Emotet sono state create per sembrare autentiche.
La terza fase dell’attacco
Una volta aperta una breccia con Emotet, è stato installato il ransomware che ha bloccato tutti i servizi coinvolti nell’attacco. I dati relativi ai servizi sono stati criptati ed è stata emessa la richiesta di riscatto. Un attacco che riporta una procedura piuttosto standard, ma in questo caso, il tutto è stato favorito dall’assenza di misure di sicurezza adeguate da parte della Regione.
L’autenticazione a due fattori, questa sconosciuta
I danni dell’attacco potevano essere mitigati anche tramite una semplicissima autenticazione a due fattori, che prevede l’inserimento di un codice o di un’autorizzazione di un’applicazione esterna per confermare l’accesso al sistema. Certo, non è una procedura che annulla al 100% i danni, ma riduce davvero molto le possibilità che problematiche del genere emergano, anche grazie al fatto che spesso l’autenticazione a due fattori è gestita tramite un dispositivo diverso da quello che si sta utilizzando per accedere al servizio per il quale è richiamata.
Anche i backup sono criptati
La situazione si complica: oltre ad aver criptato tutti i dati, il ransomware ha criptato anche le copie di backup. Riavviando l’intero sistema si rischierebbe di perdere tutti i dati e la Postale non ha potuto nemmeno accedere alla richiesta di riscatto.
Non essendoci altre copie di backup, se non si recupera la chiave per decriptare i file, non si recupera nulla. Si spera che il virus venga eradicato “prima del ripristino delle attività”.
Difficile stabilire l’entità del riscatto richiesto: solo nell’ultimo anno, la cifra richiesta come riscatto per attacchi di questo genere è raddoppiata, e lo scorso luglio c’è stato un episodio per il quale è stata raggiunta la cifra record di 70 milioni di dollari di richiesta.
Fonti: Kasperksy, fonte interna
