Cosa si sa al momento dell’attacco informatico che ha coinvolto anche la Regione Lazio, mandando in tilt, tra l’altro, il sistema di prenotazione dei vaccini? Nelle fasi iniziali degli attacchi si parla più di sospetti che di certezze ma qualche punto fermo può iniziare ad essere fissato. La Regione non è stato l’obiettivo primario dell’attacco che ha invece riguardato, in prima battuta, un importante fornitore italiano di servizi di sicurezza internet a cui si appoggiano diversi soggetti istituzionali e aziende. Da qui il virus si è propagato. Ieri è circolato il nome della società Engineering che oggi ha confermato di essere stata attaccata ma ha escluso collegamenti con quanto sta accadendo in regione.
Oltre alla regione, tra le probabili vittime ci sono importanti società di costruzioni, dell’energia, della farmaceutica oltre a fornitori di servizi e-mail. A quanto risulta agli esperti che stanno lavorando sull’attacco, tra cui la società sicurezza informatica ReaQta, in questo momento a muoversi potrebbero essere non uno ma più attori. Questo spiegherebbe tra l’altro perché i soggetti coinvolti sono stati colpiti da software leggermente diversi tra loro. Il virus Lockbit 2.0 per le aziende e un più “classico” Ransom.EXX nel caso della regione. Il primo è “confezionato” da cyber criminali e poi rivenduto in cambio di una quota dei riscatti ottenuti. Non è neppure da escludere che un primo soggetto abbia forzato l’accesso al sistema per poi rivendere la “chiave” ad altri e diversi attori.
In genere questi attacchi vengono preceduti da una fase “silente” di studio del sistema infiltrato, che può durare dei mesi. Una volta entrati i criminali informatici studiano l’architettura del sistema e gli ambiti a cui possono estendere l’attacco e poi decidono quando e dove colpire. Possibile che questa azione sia stata quindi “incubata” a lungo, forse per mesi. Si è parlato di un ingresso attraverso il Pc di un dipendente o di un consulente collegato in smartworking. Non è da escludere ma è anche possibile che i pirati informatici si siano semplicemente impossessati di alcune credenziali “dall’interno” e le abbiano poi utilizzate senza nessun coinvolgimento diretto dell’effettivo titolare.
L’assessore alla Sanità del Lazio Alessio D’Amato, ha spiegato oggi come almeno una parte del backup dei dati fosse a sua volta in linea, e quindi sia stato compromesso. Questa sì, non l’attacco in sé, una pecca grave nella gestione della sicurezza informatica da parte delle strutture della regione. Così come è grave il fatto che, a quanto pare, non fosse stato predisposto un piano di “disaster recovery” che consente di far fronte in tempi veloci ad attacchi di questo genere. Per ora invece le macchine della regione sono ferme né possono essere riavviate in quanto la riaccensione potrebbe causare ulteriori danni. Funzioni e dati sono ora in corso di trasferimento su fornitori esterni di servizi cloud.
Quali le possibilità a cui si trova ora concretamente di fronte la Regione Lazio? La prima è quella di pagare il riscatto, cosa che anche se dovesse accadere, non verrà mai confermata ufficialmente. In tal caso i tempi per la riattivazione completa del sistema potrebbero essere nell’ordine della settimana. La seconda possibilità, se si dispone di un qualche archivio dei dati riutilizzabile anche se magari non aggiornatissimo, è quello di utilizzarli e integrarli successivamente. Tempo stimato almeno 10 giorni/due settimane. Fuori da queste due opzioni i tempi sono destinati ad allungarsi, e di molto.