Parla di “attacchi terroristici” dai quali dobbiamo difenderci il presidente della Regione Lazio, Nicola Zingaretti, intervenuto in conferenza stampa sulla violazione da parte di un gruppo di hacker del portale per le prenotazioni vaccinali della regione da lui amministrata. Un’offensiva, quella dei pirati, partita dall’estero e che ha interessato il 70% della popolazione di Roma e altre province e che mette seriamente a rischio i dati sensibili di cittadini comuni, ma anche di esponenti politici, istituzionali, fino al presidente della Repubblica, Sergio Mattarella, oltre a quelli riservati di uomini dei servizi segreti. “Stiamo difendendo in queste ore la nostra comunità da questi attacchi di stampo terroristico – ha detto il governatore – Il Lazio è vittima di un’offensiva criminosa, la più grave mai avvenuta sul nostro territorio nazionale”. Il governatore ha smentito qualsiasi richiesta diretta di riscatto ed esclude qualsiasi trattativa.
Il cyberattacco è iniziato la notte scorsa ma è tutt’ora in corso, tanto che il portale per le prenotazioni rimane ancora bloccato, mentre ai dipendenti pubblici è stato chiesto di evitare l’accesso per evitare nuove falle alla sicurezza: “Gli attacchi sono ancora in corso – spiega infatti Zingaretti – La situazione molto è seria e molto grave”. Il governatore assicura però che “i dati finanziari e i dati del bilancio non sono stati toccati. Appena tutto sarà ripristinato intendiamo dare priorità assoluta a servizi nel campo della salute: 112 e Ares 118 sono attivi e non sono mai stati interrotti, così come i numeri della sala operativa della protezione civile”. Anche i dati relativi alle schede sanitarie, secondo quanto si apprende, dovrebbero essere stati salvaguardati, mentre lo stesso non vale per quelli anagrafici.
Nelle ore seguenti la cyberoffensiva era circolata la notizia secondo cui gli hacker hanno chiesto il pagamento di un riscatto in criptovalute in cambio dei dati acquisiti. Ma il governatore ha escluso qualsiasi trattativa: “È comparsa solo una pagina con un invito a contattare il presunto attaccante – ha detto – È nostra intenzione non avviare alcuna interlocuzione con chi ha attaccato il sistema. Non tratteremo con gli interlocutori che ci stanno attaccando. Le autorità stanno lavorando alle indagini”. E successivamente puntualizza: “Non è stata formalizzata alcuna richiesta di riscatto rispetto a quanto è avvenuto”.
Le indicazioni fornite dal presidente Zingaretti trovano però solo un parziale riscontro nelle prime risultanze che lasciano trapelare alcuni esperti che stanno lavorando all’attacco. La violazione non è stata indirizzata direttamente contro la regione Lazio ma un grande MSSP italiano (una società che fornisce servizi web) che ha la regione, ma non solo, tra i suoi clienti. Elemento che rende impreciso la definizione di terrorismo che solitamente si attribuisce ad azioni di natura politica. La Regione non sarebbe quindi l’unico soggetto che ha subito la violazione e i dati sanitari, peraltro di valore non particolarmente significativo, non sarebbero il target a cui hanno puntato i pirati informatici. Possibile che nei prossimi giorni giunga notizia di altre “vittime”, seppur forse non così rilevanti come una regione. Inoltre in questo tipo di attacchi, la richiesta di riscatto è praticamente implicita. Si tratterebbe infatti di un virus LockBit 2.0 che “sequestra” i dati criptandoli e prevede appunto un pagamento in bitcoin che verosimilmente non è stato chiesto, almeno per ora, direttamente alla regione Lazio ma al fornitore da cui si è propagato. A veicolare l’attacco sarebbe stato un “affiliato”, ossia qualcuno che prende “in appalto” un virus prodotto da gruppi cybercriminali professionisti (in questo caso sembrerebbe il gruppo Blackmatter) e versa poi loro una quota dei riscatti ottenuti. Infine pare assolutamente prematura l’attribuzione della provenienza effettiva. Quella geografica significa poco. Si tratta di operazione che richiedono abitualmente tempi lunghi e competenze di alto livello.