Attacco Regione Lazio. Come difendersi dai ransomware.

L’Italia subisce un ulteriore attacco informatico: nel giro di poche ore, ha compromesso l’intero sistema di prenotazione vaccinale della Regione Lazio.

Scopriamo cosa è un attacco ransomware e quali soluzioni di cyber security possono essere adottate da un’azienda per continuare a lavorare in sicurezza.

Uno sguardo all’accaduto.

Da quanto riportato dalla stampa e dalle Istituzioni, il nucleo speciale per la cyber security ha confermato che i criminali, per accedere al sistema della Regione Lazio, hanno utilizzato le credenziali di un impiegato, tramite le quali sono entrati nella rete virtuale (VPN) utilizzata da un computer remoto.

Il passo successivo ha visto il ricorso ad un “cavallo di Troia”, un software chiamato «Emotet», che gli ha concesso il pieno controllo del sistema per eseguire operazioni più profonde. Ecco dunque il momento dell’inserimento del ransomware, il programma che ha criptato i dati e chiesto il riscatto. Il ransomware in questione, oltre ai dati, è riuscito a criptare anche il backup del sistema: il rischio attuale e imminente, che la Regione Lazio sta cercando di arginare, è di limitare i danni data la vulnerabilità del sistema.

Secondo i più esperti di cyber security è stata messa in atto una tattica tipica nel mondo dei ransomware: colpire tutti i file che incontrano, al fine di ottenere un riscatto economico dalla vittima, il quale, se non corrisposto, non permetterà il recupero dell’intero sistema.

Lo scenario di conseguenze più disastrose porterebbe alla paralizzazione non solo del settore sanitario — prenotazioni per i vaccini e qualsiasi visita medica — ma a tutte le attività correlate a servizi erogati della Regione. Insomma, un blocco totale, senza precedenti.

Il presidente della Regione, Nicola Zingaretti, ha rassicurato: “Confidiamo nei prossimi giorni di riaprire il portale delle prenotazioni” dei vaccini. “Quello che è avvenuto ci proietta in una situazione nuova per il Paese, in questo caso il virus ha criptato i dati. Ad ora nessun dato, né della sanità né del capitolo finanze-economia, è stato trafugato – sottolinea – ma ci troviamo di fronte a qualcosa di molto preoccupante”.

Scopriamo che cos’è un ransomware.

Si tratta di un virus creato per limitare l’accesso al dispositivo che è “infettato”, in modo tale da rendere illeggibile all’utente tutti i suoi dati, a meno che non avvenga il pagamento di un riscatto – “ransom” in inglese – per poter tornare a utilizzarli.

L’importo del riscatto può variare da qualche migliaio di euro fino anche a milioni per le aziende più grandi, tutti da pagare in bitcoin o in altre cripto-valute non tracciabili.

Nei casi più complessi il riscatto richiesto può essere doppio: il primo per concedere all’utente di accedere nuovamente ai suoi dati, il secondo per impedire che questi siano divulgati alla stampa o competitor di settore.

Quali sono i presupposti per un attacco di “successo”. 

Diversi sono gli aspetti interni all’azienda che posso facilitare la buona riuscita di un attacco hacker. Per questo motivo è importante conoscerli e saperli prevenire.

Vediamoli nel dettaglio:

1. Presenza di una falla/vulnerabilità nell’infrastruttura tecnologica dell’azienda, che può consentire l’accesso ai sistemi informativi aziendali;
2. Presenza di una “falla umana”: è frequente che gli utenti compiano, inconsapevolmente, delle azioni superflue dal punto di vista della sicurezza informatica, come il classico click su un allegato compromesso;
3. La “cattura” di un’utenza privilegiata: ossia un’utenza interna con delle particolari licenze e abilitazioni che, una volta criptate, rendono facile l’accesso dell’hacker all’intero sistema informatico.
   

Le principali azioni da intraprendere per difendersi da un attacco informatico.

Per proteggersi da questi virus, sicuramente tra i più pericolosi, non possiamo prescindere dall’adozione di misure preventive a tutela della cyber security aziendale:

1. L’aggiornamento costante dei sistemi informatici;
2. La riduzione della superficie attaccabile: molto spesso le aziende tendono a rendere pubblici aspetti non necessari per il loro business, sarebbe meglio limitarsi o ancor di più evitare del tutto di farlo;
3. La formazione dell’utente: come abbiamo già sottolineato, la causa scatenante di un attacco che va a buon fine può essere l’intervento umano. La formazione dei dipendenti risulta fondamentale, non solo dal punto di vista tecnico, ma anche da quello dell’utilizzo consapevole degli strumenti informatici, quali social media, e-mail, ecc.
   

L’approccio preventivo offerto da WESTPOLE. 

WESTPOLE, in tema di cyber security, mira a rendere sicure le informazioni, in base al loro livello di criticità.​

Infatti, si basa su una metodologia che prima analizza l’azienda ed i suoi asset e successivamente definisce le migliori misure di sicurezza e di protezione adeguandole alle esigenze di business aziendali, al fine di monitorare tutti gli aspetti in tema di sicurezza. In tal modo è possibile garantire la prevenzione e la gestione tempestiva di eventuali incidenti.​

Ecco gli step principali del nostro framework:

1. Assessment volto all’analisi preliminare per il riconoscimento delle esigenze e valutazione della miglior soluzione da applicare. L’assessment dovrebbe essere di tre tipi:
   • Dall’esterno per misurare la superficie d’attacco e le eventuali falle di sicurezza esposte;
   • Dall’interno attraverso l’utilizzo di sonde che permettano di analizzare il traffico e di evidenziare eventuali anomalie;
   • Organizzativo mirato a comprendere le skill delle persone tecniche, ma anche il grado di penetrabilità dell’utente non considerato “informatico”.
2. Proposta di soluzioni commisurate allo stato del cliente (a valle dell’analisi al punto 1) quindi:
   • Gestione dei sistemi;
   • Formazione del personale sulle soluzioni di security e sul comportamento corretto nell’utilizzo degli strumenti di lavoro;
   • Messa in sicurezza delle utenze privilegiate attraverso l’utilizzo di soluzioni PAM (Privileged Access Management);
3. Monitoraggio dell’infrastruttura dei dati del cliente per eventi e anomalie. Il monitoraggio è da intendersi attivo durante tutto il corso dell’evento subito e soprattutto successivamente, in ottica preventiva.

In conclusione, anche questo attacco è la conferma di un trend molto preoccupante: l’Italia è uno dei Paesi maggiormente presi di mira a livello europeo.

Dobbiamo dunque lavorare per costruire una cultura solida sulla sicurezza informatica, spinti dall’aiuto che il PNRR porterà a livello di cybersicurezza nazionale. Il concetto di “squadra” sarà fondamentale: certo, è importante proteggersi anche individualmente, ma solo uniti si può fare davvero la differenza.

Scritto da Michele Onorato  – Chief Information Security Officer & BU Manager 

Leggi anche:

“Scopri come garantire la cyber security del tuo digital workplace”{{cta(‘2b56610d-2584-4be0-905b-1fb47975e7e1′,’justifycenter’)}}