Oggi è il giorno dell’ultimatum imposto da Sprite Spider, il gruppo di cyber criminali che la settimana scorsa ha attaccato la Regione Lazio.
Cosa succederà ai dati criptati? Verranno cancellati oppure no?
La ripresa
Intanto la Regione Lazio è riuscita a ripristinare alcuni servizi.
Il sito per le prenotazioni per il vaccino anti Covid-19 è di nuovo attivo (più di 3.000 richieste ieri), grazie al backup dei dati del 30 luglio.
Se alcuni servizi non sono mai stati interrotti (118, 112, Protezione civile, Centro trasfusionale, Pronto Soccorso, pagamento del bollo auto), molti altri servizi sono ancora fuori uso.
Dalla prossima settimana, sarà disponibile il sito web temporaneo della Regione Lazio (lunedì) e tornerà attiva la posta elettronica regionale (venerdì). Per l’attività di bilancio bisogna aspettare la fine del mese. Le gare regionali, invece, sono di nuovo operative grazie alla collaborazione con la Regione Emilia Romagna. Infine, la piattaforma del Lazio sarà pronta per i primi di settembre.
Tutto questo comporterà dei ritardi anche nel rilascio del Green Pass.
Il backup VTL
Dietro l’attacco cyber non ci sono hacktivisti (“hacker attivisti” quali NoVax o Anonymous) nè cyber terroristi, come era stato paventato in un primo momento.
Il motivo è uno solo: i soldi. Infatti il gruppo Sprite Spider ha sferrando un attacco ransomware al fine di guadagnare una certa somma in criptovalute dalla Regione.
Cifrando i dati, il ransomware li rende indisponibili e intima alla vittima di pagare il riscatto (ransom) se vuole riaverli. I dati saranno nuovamente disponibili se si ha la chiave di decrittazione. Ma il pagamento del ransom non dà alcuna certezza in questo senso.
Ad oggi i dati sono stati solamente cifrati e non anche rubati: quest’ultima operazione (esfiltrazione) è più costosa e meno rapida della cifratura.
Prima della cifrare i dati, i cyber criminali hanno provato a cancellare ogni copia di salvataggio dei dati (backup), per impedire alla Regione di ripristinare i backup precedenti.
Tutti i backup sono stati cancellati e non anche cifrati – è un’operazione onerosa -, sovrascrivendoli con dei nuovi. Tutti tranne uno, datato 30 luglio, e il merito è di VTL (virtual tape library).
VTL è un particolare sistema di gestione dei dati di backup acquistato dalla Regione nel 2019.
Secondo Corrado Giustozzi – esperto in cyber security, ex Agid e Enisa – VTL è un’attrezzatura per data center che emula l’archiviazione su nastro magnetico. Così facendo, VTL permette di disaccoppiare le funzioni di alto livello e lo strato fisico.
E’ stato possibile recuperare questo backup perché la cancellazione dei dati era logica e non fisica, e così i dati sono rimasti nel substrato delle memorie.
Tuttavia potrebbero esserci dei problemi in seguito perchè solitamente i dati ripristinati a basso livello non sono integrali.
Sprite Spider & RansomEXX
Sprite Spider è l’antagonista di questa storia.
E’ un gruppo cyber criminale che recentemente ha anche colpito il Consiglio Nazionale del Notariato.
Per l’attacco alla Regione Lazio, Sprite Spider ha usato una versione particolare di ransomware: RansomEXX.
Si tratta di una multi-piattaforma operata a basso volume come parte di attacchi cyber multifase che mira ad aziende e istituzioni.
Dalle prime indagini si sa solamente che RansomEXX è stato iniettato sul computer di un dipendente regionale.
Sconosciuta è ancora la modalità di inoculazione. Secondo gli esperti, potrebbe essersi trattato di phishing (il dipendente ha fornito, volente o nolente, le credenziali VPN); vulnerabilità di rete, software o VPN; accesso abusivo a sistemi esterni.
Conclusione
Sebbene la situazione sia stata in parte risolta, restano aperte diverse questioni:
1) la scoperta del backup è stato fortuita (e fortunata);
2) i cittadini ancora non possono usufruire di servizi essenziali e importanti perchè alcune prestazioni e piattaforme regionali sono fuori uso;
3) le responsabilità dei dipendenti della Regione sono tutte da chiarite;
4) non si conoscono tutti gli aspetti e le conseguenze dell’attacco cyber.
Resta il fatto che la Regione Lazio non ha gestito a dovere la crisi.
Sul piano della cyber security, è apparsa impreparata e immatura, considerato che l’attacco cyber non era di alto profilo.
Bisogna pertanto investire nella cyber security, destinando risorse finanziarie, formando il personale e infondendo una cultura e una sensibilità di cyber security. Fondamentale sarà il contributo che il PNRR e la neonata ACN (Agenzia per la cyber security nazionale) potranno dare in questo senso.
Sul piano mediatico, il Presidente di Regione e l’Assessore alla Sanità hanno fornito notizie scorrette, incerte e vaghe relative sia all’oggetto, alle motivazioni e alle finalità dell’attacco, sia ai tempi di ripresa e ripristino dei servizi e dei sistemi della Regione.
Tutto ciò ha reso la situazione ancora più difficile per la Regione dal punto di vista organizzativo e operativo; in più ha ulteriormente confuso i cittadini, i soggetti più deboli e meno consapevoli in questo contesto.
Come sempre c’è una lezione da apprendere: oggi siamo stati fortunati ma domani dobbiamo essere preparati.
