Attacco hacker, la procura indaga per terrorismo. D'Amato: "Criptato anche il backup dei dati"

Che si sia trattato di uno dei più gravi attacchi hacker alla pubblica amministrazione mai registrati l’aveva già messo in chiaro il presidente della Regione Lazio, Nicola Zingaretti.

A 72 ore dal cyberattacco sferrato al Ced e ai sistemi informatici di LazioCrea, però, la procura di Roma ha deciso di aggiungere all’elenco dei reati per cui è stato aperto il fascicolo anche l’aggravante terroristica.

Attacco hacker, per la procura di Roma c’è l’aggravante terroristica

Il messaggio è chiaro: quanto accaduto è gravissimo, non soltanto perché è stato “preso in ostaggio” l’intero universo telematico del Lazio, con ricadute pesantissime sul comparto sanità e in particolare sulla campagna vaccinale, ma anche perché all’interno dei sistemi sono contenuti i dati sensibili di 5,8 milioni di cittadini, tra cui anche personalità importanti come il presidente della Repubblica, Sergio Mattarella, o il premier Mario Draghi, e di altre alte cariche dello Stato.

Un’indagine estremamente complessa coordinata dal procuratore capo Michele Prestipino, che ha ipotizzato i reati di danneggiamento a sistemi informatici, accesso abusivo a sistema informatico e tentata estorsione aggravati appunto da finalità terroristica. A portare avanti gli accertamenti sono gli esperti della polizia Postale e il pool di magistrati che si occupa di reati informatici, coordinati dal sostituto Angeloantonio Racanelli.

La richiesta di riscatto e il rischio perdita dati

Da giorni ormai i tecnici lavorano per trasferire in sicurezza i dati in appositi cloud mentre il sistema resta ancora sotto attacco, come confermato da Zingaretti: nella notte tra lunedì e martedì un’altra serie di attacchi è stata sferrata, ed è stata respinta. L'intero universo telematico resta però congelato, e non sono certi i tempi di ripristino. Non è escluso che sia necessario ripartire da zero, ricostruendolo pezzo per pezzo e cercando di limitare i danni il più possibile.

Confermato anche il meccanismo del riscatto tipico del “ramsonware” usato per l’attacco: gli hacker sono entrati nel sistema, hanno criptato (e dunque bloccato) i dati e poi hanno inviato un messaggio tramite schermata nera in cui invitano a non modificare alcun file pena la perdita dei dati. Compare poi sulla schermata un link che, se seguito, spiegherebbe come rientrare in possesso dei dati, pagando ovviamente una cifra in criptovaluta. La richiesta è quella di usare Tor (The Onion Router), un software utilizzato dagli hacker per comunicare in modo anonimo e difficilmente rintracciabile e monitoratile.

Il presidente della Regione Lazio ha già annunciato che nessun riscatto verrebbe comunque pagato, e l’assessore regionale alla Sanità, Alessio D’Amato, ha assicurato martedì che entro 72 ore sarà possibile nuovamente prenotare i vaccini su una piattaforma gemella, e dunque da venerdì. Ci vorrà invece qualche settimana per riattivate il Cup.

"Sono stati isolati e messi in sicurezza in appositi cloud tutti i dati dei servizi che non sono stati attaccati, come i dati sanitari - ha fatto sapere la Regione - Attualmente, si ricorda ancora una volta, che sono attivi i servizi della Protezione Civile, del 118, del 112 e del centro trasfusionale. I dati del bilancio regionale sono in sicurezza ed entro la fine di agosto saranno riattivati anche i sistemi di pagamento regionale".

Da dove e come è partito l’attacco hacker?

Stando a quanto ricostruito a oggi, gli hacker sarebbero riusciti a entrare nel sistema utilizzando le credenziali di un dipendente di LazioCrea, amministratore di sistema, che stava lavorando in smart-working da Frosinone. 

Una volta entrati hanno lanciato il malware, mettendo in moto il meccanismo che ha paralizzato il sistema informatico di un’intera regione. Oltre alla sanità, l’attacco ha bloccato anche numerosi altri servizi per i cittadini e l’amministrazione, che con tutta probabilità saranno nuovamente disponibili in tempi più lunghi. L’ulteriore problema è che, stando a quanto trapelato sinora, anche i backup sarebbero stati cifrati, il che significa che quella che si potrebbe definire grossolanamente la copia dei dati fatta per sicurezza è stata a sua volta cifrata.

"L'attacco hacker è partito dalla violazione di un'utenza di un dipendente in smartworking - ha detto l’assessore D’Amato - è stato criptato anche il backup dei dati, ed è l'elemento più grave. I dati non sono stati violati ma sono stati immobilizzati. Siamo in guerra, come sotto un bombardamento. Si contano gli edifici che stanno in piedi e quelli che sono crollati”.

Esperti e appassionati ormai di tutto il mondo si stanno intanto interrogando sulla natura dell’attacco. L’ipotesi è che sia stato utilizzato il ramsomware LockBit, un software progettato per bloccare l'accesso degli utenti a sistemi informatici in cambio del pagamento di un riscatto. LockBit è un attacco pilotato, e va automaticamente in cerca di obiettivi di valore, diffondendo l'infezione e criptando tutti i sistemi informatici accessibili in una rete. È un tipo di ransomware che viene spesso utilizzato per attacchi altamente mirati contro aziende e organizzazioni. Se fosse confermato, si tratta di un ramsonware più pericoloso rispetto al CryptoLocker. Non è neppure certo, come detto, che il virus sia stato lanciato dalla Germania, vista l'estrema abilità degli hacker di schermare l'ip e la provenienza e di "rimbalzare" da un angolo all'altro della rete, molto velocemente, per impedire il tracciamento.

"Il rischio zero ho imparato che non esiste, hanno colpito in maniera organizzata, programmata, soprattutto in un momento in cui le modalità di smart working hanno abbassato i livelli di sicurezza per loro natura - ha aggiunto D'Amato, intervistato da Italian Tech - Ciò che è accaduto a noi poteva accadere ad altri. Ciò deve portarci rapidamente a creare quegli argini che possano rendere più difficile valicare questo confine, io credo che questo sia un tema importante anche per i dati di natura sanitaria".