Ad oggi che scriviamo i portali della Regione Lazio che sono stati coinvolti nell’attacco SaluteLazio e LazioCrea sono inutilizzabili da 9 giorni e lo rimarranno, sembra, ancora per una settimana. Pensiamo ad una azienda che non possa lavorare per 15 giorni, senza inviare email, senza emettere ordini e fatture, senza produrre, senza prelevare nulla dal magazzino, ecc. Pensiamo cosa penserebbero clienti, fornitori e banche finanziatrici di tale azienda. Questa è la ragione per cui un Ransomware è in grado sia di danneggiare economicamente nell’immediato l’azienda ma anche di minarne fortemente la sua immagine nel tempo, compromettendola.
Ma torniamo alla Regione Lazio. Ormai è stato appurato che l’attacco è partito da credenziali rubate di un impiegato di una azienda collegata. Come tali credenziali siano state rubate è ancora oggetto di analisi ma probabilmente il PC dell’impiegato è stato infetto da un malware. Questo significa che la protezione di tale PC è stata facilmente bypassata dal malware, quindi se assumiamo vi fosse installato almeno un antivirus, esso non è stato in grado di scovare il malware. Questo primo punto di difesa cyber sull’end-point non ha funzionato a dovere.
Il ransomware utilizzato dai criminali probabilmente è RansomEXX o LockBit 2.0, oppure un’azione combinata dei due. Sono entrambi noti; sappiamo che utilizzano diverse tecniche di “defense evasion”, quindi con strumenti di difesa degli endpoint che osservano le tecniche di evasione delle difese essi potevano essere fermati già prima del loro ingresso nel PC.
Attraverso l’utilizzo delle credenziali rubate per il collegamento alla VPN aziendale (VPN fornita dal fornitore esterno di servizi di ingegneria ed informatica della Regione Lazio) per il lavoro in smart-working dell’impiegato (ormai dovremmo aver capito che lo smart-working genera molti rischi di sicurezza informatica, o no?). L’impiegato sembra che lavori per che lavora per Lazio Crea, società partecipata che si occupa della gestione del sistema informatico della regione. Ecco che si palesa lo schema che spesso citiamo di attacchi supply-chain dove viene infettata una azienda e da essa si infetta e attacca un suo cliente o fornitore, generalmente tramite VPN. Questo secondo punto di difesa cyber sulla protezione delle VPN (o meglio ancora sulla sostituzione delle VPN con strumenti moderni e sicuri) non ha funzionato. Ad esempio, basterebbe un MFA sulla rete VPN per evitare molti tentativi di attacchi che la coinvolgono.
Gli attaccanti sono entrati nel sistema con le credenziali rubate, hanno eseguito tecniche di “privilege escalation” e “lateral movements” infettando un centinaio di colleghi, tra i quali un amministratore di rete e hanno scaricato il software Emotet, per prendere il controllo a distanza. L’attacco è stato profondo ed ha colpito sia server che diversi back-up. In realtà mentre i dati sui server sono stati crittografati, quelli sui back-up sono stati cancellati semplicemente e poi sovrascritti. Questa procedura è più veloce e spesso preferita nel caso di grandi dimensioni dei back-up. La fortuna della Regione Lazio è stata di avere un back-up particolare e non in linea, quindi non raggiungibile dagli hacker (strumento utilizzato in passato per il back u dei grandi datacenter con nastri ad alta densità che vengono montati sulle testine per la scrittura e la lettura ma la maggior parte del tempo sono disaccoppiati dalla rete. Quindi la sovrascrittura degli hacker è stata fatta su nastri diversi e si sono potuti recuperare i dati originali. Questo terzo punto di difesa cyber sull’escalation dei privilegi fino ad arrivare ai privilegi di amministratore è un nostro “chiodo fisso” per la difesa dei dati aziendali e sul quale informiamo sempre le nostre aziende.
Per quanto riguarda il ritrovamento di un back-up intatto ciò ha risparmiato alla Regione Lazio di non dover pagare il riscatto ma non ha evitato che per 15 giorni i servizi fossero comunque disabilitati.
Inoltre, sottolineo che se la rete della Regione Lazio fosse stata progettata seguendo le linee guida dello Zero Trust Network Access – ZTNA –, ad esempio segmentando opportunamente la rete e controllando gli accessi, non saremmo mai arrivati a questo punto dell’attacco con server e back-up compromessi.
A meno di una settimana dal blitz dei pirati informatici, vengono pubblicati i primi dati sensibili rubati. “Si tratta di credenziali di accesso, mail, password per server e servizi”. Quindi anche se un riscatto per ottenere la chiave di decriptazione non è stato pagato, l’azienda sta subendo danni ingenti a causa della diffusione dei dati sensibili sul DarkWeb e sulle possibili maxi-multe del Garante della Privacy che ha già aperto un’indagine (questo il motivo per cui oltre il 95% delle aziende colpite da attacchi informatici non denuncia l’accaduto). Infatti, chiavi di accesso ai sistemi informatici della regione Lazio pare fossero in vendita da tempo sul dark web. Così come sarebbero ora in vendita informazioni riguardanti quasi 800 soggetti. Come riporta Repubblica, nel dark web sul gruppo di pirati informatici Raidforums.com, alla voce trading, c’è una discussione aperta sul Lazio. In particolare, alcuni utenti sarebbe disposti a pagare grosse cifre per avere “Covid informations” e “medical data” del Lazio.
Il fornitore esterno di servizi di ingegneria ed informatica della Regione Lazio ha ammesso la possibilità di una compromissione di alcune credenziali di accesso ma esclude con una nota ufficiale il con le violazioni subite dalla Regione Lazio.
È probabile che l’autore dell’attacco studiassero da tempo, e dall’interno, i sistemi e le reti su cui ha agito. Gli attacchi moderni, infatti, permangono nascosti e silenziosi all’interno di una rete aziendale anche più di 200 giorni, per poi attivarsi e sferrare l’attacco quando più nessuna difesa classica può intervenire (naturalmente sistemi di cyber security moderni ed evoluti non solo sono in grado di bloccare l’attacco in qualsiasi momento ma operano in modo pro-attivo e preventivo evitando che esso inizi).
Lo stesso gruppo che ha colpito la Regione Lazio potrebbe aver attaccato anche l’azienda di moda Ermenegildo Zegna, Tiscali, Erg, e probabilmente altre aziende che però hanno deciso di non dare visibilità all’esterno di tali attacchi.
In conclusione, consiglio di essere smart e prevenire danni catastrofici come questi alla tua azienda, quindi prevenire pro-attivamente ogni tipo di attacco, sia noto che ignoto ed evoluto, con tecnologie moderne di difesa informatica. Ad esempio la sinergia tra l’innovativo strumento di difesa con “deception” degli end-point, DECEPTIVE BYTES, e la segmentazione, monitoraggio e difesa della rete aziendale con tecnologia brevettata “reverse access” di SAFE-T, permette ad ogni imprenditore ed IT-Manager di dormire sonni tranquilli. (Dott. Daniel Rozenek)
