Pubblicato il: 03-08-2021

di Rinaldo Frignani e Alessio Lana - corriere.it

La falla è stata scoperta dalla Polizia postale analizzando la Vpn, la  rete virtuale utilizzata per accedere a un sistema informatico da un  computer remoto, come quella che hanno sperimentato molti lavoratori in  smart working durante la pandemia

 

ROMA È stata tutta una questione di «privilegi». Di autorizzazioni  acquisite - con relativa facilità - da chi è riuscito a introdursi nel  sistema informatico della Regione Lazio, dopo aver carpito le  credenziali di un amministratore di sistema di alto livello, per colpire  sempre più a fondo. Al punto da paralizzare non solo il settore  sanitario — e quindi le prenotazioni per i vaccini (ma anche per  qualsiasi visita medica, con Cup e Recup) e la stessa campagna vaccinale  — ma tutte le attività della Regione.

Un blocco totale, senza precedenti, che potrebbe essere risolto, se va bene, in due settimane.  A tutt’oggi ci sono interi settori che continuano a operare con  funzionari che comunicano con dispositivi e mail personali, e sui loro  profili social.

La falla è stata scoperta dalla Polizia postale analizzando la Vpn,  la rete virtuale utilizzata per accedere a un sistema informatico da un  computer remoto, come quella che hanno sperimentato molti lavoratori in  smart working durante la pandemia. Le tracce degli accessi alla Rete  hanno portato al computer utilizzato da un impiegato regionale che abita  a Frosinone e — stando a quando ricostruito dagli investigatori, che  hanno riferito tutto ieri mattina nel corso della riunione del Nucleo  speciale per la cybersicurezza — i criminali hanno utilizzato le sue  credenziali per entrare nel sistema della Regione. Ma non era  abbastanza. Hanno poi usato un software chiamato «Emotet», una sorta di  cavallo di Troia che ha creato una breccia e gli ha dato il pieno  controllo del sistema per eseguire operazioni più profonde.

A questo  punto tutto era pronto per il terzo passaggio, il clou dell’operazione, l’inserimento del ransomware,  il programma che ha criptato i dati e chiesto il riscatto. Insomma, u  na procedura che ricalca un copione già letto favorita però dall’assenza  di una procedura di autenticazione a due fattori da parte del  dipendente, quella misura che oltre a username e password chiede un  secondo modo per confermare la propria identità come per esempio un sms  sul telefono o un’app che rilascia un codice.

A complicare la situazione è il fatto che il ransomware in questione è andato talmente in profondità che, oltre ai dati, ha criptato anche il backup, la copia di riserva.  Ora riavviando il sistema c’è il rischio di perdere tutto e la Postale  non ha potuto nemmeno aprire la comunicazione degli hacker con la  richiesta del riscatto che accompagna sempre questo genere di ricatti.  Gli analisti hanno appurato che non ci sono altri backup «e pertanto se  non si recupera la chiave non potranno essere ripristinati». Un classico  nel mondo dei ransomware che colpiscono tutti i file che incontrano  proprio per costringere la vittima a pagare. In caso contrario l’intero  sistema rimane inutilizzabile.

Al momento comunque si sta lavorando per  eradicare il virus «prima del ripristino dell’attività» anche se non si è  sicuri che questa operazione basti a far tornare tutto come prima.  Difficile invece stabilire l’entità del riscatto ma in genere chi  progetta ransomware studia attentamente la propria vittima per trovare  una «cifra equa», per così dire, in base al suo fatturato. Più  l’obiettivo è ricco più viene richiesto.

Analoghi attacchi  informatici sono stati scoperti nell’aprile dello scorso anno al San  Raffaele di Milano e allo Spallanzani di Roma, ma solo nell’ultimo mese  ce ne sono stati altri 57 in varie aziende. Negli ultimi tre anni peraltro i ransomware hanno avuto un’impennata in tutto il mondo.  Sono silenziosi, efficaci e molto remunerativi.

Ci si accorge della  crittazione solo quando tutto è ormai perduto e in genere le vittime,  principalmente le aziende, pagano. In caso contrario infatti i criminali  minacciano di rendere pubblici alcuni dei dati che hanno criptato tra  cui possono esserci dati sensibili dei clienti, brevetti, progetti in  sviluppo. Solo nell’ultimo anno le richieste di riscatto medie sono  raddoppiate e in luglio scorso è stata raggiunta la cifra record di 70  milioni di dollari con un solo attacco. Tutti da pagare in bitcoin  ovviamente, la valuta non tracciabile che corre da un portafoglio  virtuale all’altro senza fare rumore. Proprio come un ransomware.

                                                                 

| Articolo Originale |