La calda estate degli attacchi cyber prosegue con il sito della Regione Lazio sotto attacco informatico. Ormai da due giorni è impossibile accedere ai portali regionali, evento noto da quando l’Unità di Crisi della Regione Lazio ha comunicato di aver subìto un attacco hacker al proprio Centro elaborazione dati (CED), il cuore del sistema informativo della Regione.
Secondo le parole dell’assessore regionale alla Sanità, Alessio D’Amato, si tratta di un attacco hacker molto potente e senza precedenti per il sistema informatico della Regione.
“L’attacco cibernetico alla Regione Lazio evidenzia quanto sia importante proteggere le nostre infrastrutture dalle nuove minacce in rete e conferma l’urgenza di attivare l’Agenzia sulla sicurezza cibernetica per aumentare la resilienza del Paese”, ha dichiarato il presidente del Copasir, Adolfo Urso.
Il tweet della Regione Lazio in cui viene reso noto l’attacco
La doppia estorsione dietro l’attacco?
Gli attacchi ransomware, come quelli che recentemente hanno paralizzato il sistema sanitario irlandese, i server VSA di Kaseya e il maxi oleodotto americano Colonial Pipeline, di cui abbiamo parlato qui, sono “uno dei fenomeni più inquietanti e insidiosi” a detta di Nunzia Ciardi, direttrice della Polizia postale e delle telecomunicazioni.
Gli attacchi ransomware sono un tipo di offensiva che nel tempo sta diventando “sempre più sofisticato nell’inoculazione e nelle modalità di espressione”. Il concetto di “doppia estorsione” sta nel fatto che prima i criminali bloccavano solo i dati, ora ne fanno una copia minacciando di diffonderli, il che consente loro di esercitare una pressione molto più forte sulle vittime perché paventano l’idea di una duplice minaccia.
Affidarsi al servizio di Security Operation Center di Intellisync permette di aumentare la resilienza della tua infrastruttura e di proteggerla da attacchi informatici.
Le conseguenze dell’attacco
Rimangono ancora inaccessibili il sito regione.lazio.it e il portale di prenotazione dei vaccini (prenotavaccino-covid.regione.lazio.it). Le prenotazioni sono state sospese per “l’impossibilita di accesso al sistema e il rallentamento delle procedure operative di somministrazione che dovranno essere condotte manualmente”.
Secondo quanto riportato da formiche.net, i cyber-criminali sarebbero entrati attraverso il profilo di un amministratore di rete che a vario titolo lavora con la Regione Lazio.
La schermata che si presenta accedendo al sito della Regione Lazio
La crescita esponenziale degli attacchi ransomware
Stando ai dati del rapporto Clusit 2021, la tecnica d’attacco più comune è quella del malware, che copre il 42% dei casi. I ransomware fanno parte di questa categoria ed è importante notare come stiano crescendo sempre più: nel 2019 rappresentavano quasi la metà del totale (rispetto al 2018 in cui erano solo un quarto), mentre nel 2020 hanno raggiunto la percentuale del 67%.
Per diminuire il rischio di esposizione a questo tipo di attacchi, le aziende devono essere vigili anche nel periodo estivo, che sappiamo essere il momento in cui c’è meno personale in servizio.
Bisogna evitare il presentarsi di occasioni ghiotte per gli hacker, come finestre di vulnerabilità più lunghe causate da aggiornamenti di sicurezza dei sistemi rimandati a causa della mancanza di personale.
Nel momento in cui l’azienda capisce di non avere risorse in termini di persone e budget, può decidere di fare affidamento a una società che si occupa di cybersecurity ed esternalizzare il servizio.
Come si evolverà l’attacco alla Regione Lazio
Alle preoccupazioni sull’evoluzione del problema che sta causando molti disservizi, si aggiunge l’eventualità che milioni di dati sensibili siano stati trafugati. L’assessore D’Amato ha rassicurato che i dati sensibili e personali sono al sicuro, ma l’entità del danno non è ancora nota, né sono noti i tempi con cui tutto potrebbe tornare alla normalità.
Molto è stato detto in queste ore circa le caratteristiche dell’attacco, dalla sua identificazione e riconduzione a un attacco ransomware di tipo CryptoLocker, alla richiesta riportata dal quotidiano la Repubblica secondo cui sarebbe stato richiesto un riscatto in bitcoin. Sebbene siano trapelate queste notizie, bisogna rimanere cauti e attendere delle conferme ufficiali.
Cosa fare per evitare gli attacchi
Per un’azienda è importante mettere in atto dei programmi per affrontare le insidie che si presentano oggi a causa della presenza digitale sempre maggiore:
- Svolgere Vulnerability Assessment e Penetration Test periodici. Le analisi preventive come quelle sul dominio aziendale e sulle email compromesse consentono di capire quali azioni correttive svolgere.
- Preparare un piano di Disaster Recovery, che permetta di mettere in atto delle procedure in caso di situazioni critiche in cui viene minacciata la business continuity.
- Tracciare i log degli utenti, attraverso un sistema di Log Management e UEBA, un processo con cui si registra il comportamento degli utenti per poi essere analizzato tramite modelli di machine learning e forecasting.
- Avere un piano di backup. Affidarsi a un fornitore in grado di assicurare un alto grado di sicurezza e resilienza del dato, di modo che una volta ricevuta conferma della fine dell’attacco informatico, si può procedere con il ripristino dei dati a un momento precedente.
- Preparare un team di Incident Response che sia in grado di fronteggiare eventuali attacchi
