Nicola Zingaretti, presidente della regione Lazio, durante la conferenza stampa dopo l’attacco

Mentre l’Italia esultava per gli ori senza precedenti di Gianmarco “Gimbo” Tamberi nel salto in alto e di Michael Marcell Jacobs nei 100mt. piani, i responsabili IT della regione Lazio stavano (e stanno) sudando molto più dei due atleti per arginare i danni di un attacco informatico perpetrato ai danni dell’ente regionale.

Si sono rincorse diverse notizie sui giornali, dall’ipotesi dell’attentato terroristico, a quella di un attacco più generico all’Italia, dall’idea che siano stati rubati migliaia di dati personali dei residenti a ipotesi complottistiche che vedono una lobby vaccinale al comando.

In realtà come spesso accade le cose sono ben più semplici di così, ma vediamo di chiarire alcuni punti chiave per meglio capire cosa sia successo e soprattutto come poteva essere evitata questa gravissima falla di sicurezza.

Cryptolocker e i Ransomware

Come suggerisce la composizione della parola stessa i ransom(riscatto)ware(prodottosono dei software malevoli, o se preferite malware, che si insediano nel vostro PC bloccandolo con diverse metodologie e richiedono un riscatto per potere essere rimossi. Il riscatto è tipicamente da pagare tramite l’erogazione di bitcoin e varia a seconda delle dimensione del soggetto attaccato e dell’importanza dei dati “bloccati”.

In particolare la regione Lazio è stata soggetta ad un attacco da parte di un Cryptolocker ossia un ransomware che inibisce l’accesso ai dati di una azienda o di un soggetto generico criptandone tutti i dati con una chiave nota solamente a chi effettua l’attacco, richiedendo appunto un riscatto per ottenere la chiave di decriptazione.

Cryptolocker compare nel tardo 2013,e viene perfezionato poi nel maggio 2017. Symantec stima che circa il 3% di chi è colpito dal malware decide di pagare. Alcune vittime dicono di aver pagato il riscatto ma di non aver visto i propri file decriptati. In generale, l’installazione di uno di questi malware passa sempre tramite l’installazione di un eseguibile da parte di un utente sprovveduto, pervenuto tramite allegato di una mail di phishing o caricato su di un computer già facente parte di una botnet. Questo eseguibile potrebbe essere direttamente il malware o un trojan che installa il malware stesso, ma poco importa.

Al primo avvio, il software si installa nella cartella Documents and Settings (o “Utenti”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo. Una volta connesso il server genera una chiave RSA a 2048 bit e manda la chiave pubblica al computer infetto con cui il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica salvando ogni file cifrato in una chiave di registro.

Interessante come il processo cifri solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. A questo punto parte l’operazione di riscatto, ossia all’utente viene richiesto il pagamento di una determinata cifra di denaro entro un certo numero di ore, scadute le quali la chiave privata necessaria per decrittare i file verrà cancellata e nessuno potrà mai ripristinare i file in questione.

Ovviamente il malware, che è stimato abbia “incassato” più di 3.000.000 di dollari  ha spianato la strada a tanti altri sistemi malevoli di crittografia dei dati, che si basano proprio sul codice di questo ultimo, il più famoso dei quali è WannaCry che nel 2017 ha colpito circa 200 mila utenti in circa 150 paesi tra cui grosse aziende, organizzazioni e istituzioni pubbliche.

Un antivirus buono dovrebbe fermarlo, no?

In teoria un antivirus aggiornato, o meglio, un anti-malware aggiornato, dovrebbe essere in grado di identificare i file malevoli e bloccarne l’installazione sul nascere. Questo nel caso visto sopra di un utente sprovveduto che semplicemente apre un file di dubbia provenienza. O che lascia la propria sessione aperta a disposizione di tutti nella sua azienda.

Purtroppo però l’errore umano in questo caso specifico sembra essere poco determinante, perché quanto avvenuto potrebbe essere dovuto ad una falla di sicurezza su programmi che mai ci saremmo sognati di utilizzare prima di ora.

Mi spiego meglio.

Con il periodo di pandemia che stiamo vivendo e con i lockdown più o meno forzati che ci sono stati in Italia ci si è spesso dovuti confrontare con la necessità di lavorare da casa, con il cosiddetto smart-working. In alcuni casi, per chi non lo sapesse, prepararsi per lo smart-working, dal punto di vista del CED di una azienda, significa dovere gestire e manutenere un sistema di VPN (Virtual Private Network) che permettano ad un utente finale di lavorare da casa esattamente come se fosse seduto alla sua scrivania in azienda, ossia con l’accesso a tutti i dati, i programmi, i file che risiedono sul server interno dell’azienda stessa. In pratica, non appena si accende il PC, l’utente lancia un programma tipo OpenVPNTunnelblick ed inserendo le sue credenziali accedere alla rete interna. Queste credenziali, da sole, purtroppo si sono dimostrate nei mesi passati una enorme falla di sicurezza per i sistemi informatici anche di grandi aziende.

A Maggio 2021 l’attacco di un ransomware alla Colonial Pipeline, che ha costretto l’azienda a pagare oltre quattro milioni di dollari di riscatto, è stato portato a termine proprio grazie alle credenziali di una VPN non più in uso. In altri casi ci sono state delle vulnerabilità che semplicemente hanno esposto i dati di login delle VPN che sono state prese e vendute nel black market del deep web.

Una volta ottenute queste credenziali si può tranquillamente entrare dentro l’infrastruttura di una azienda e più o meno installare quello che ci pare, ancor meglio se le credenziali sono di un utente amministratore.

Questo perché per il sistema informatico l’hacker figura come una entità riconosciuta e quindi un utente che per sua natura non dovrebbe avere interesse nello svolgere azioni malevole.

Per quanto riguarda la regione Lazio è proprio accaduto questo, un hacker partendo dalle credenziali di un utente di Frosinone si è loggato, ha installato il malware Emotet, preso controllo come amministratore dell’infrastruttura e lanciato il ransomware.

La cosa interessante è che l’accesso l’ha preso 60 giorni fa, ma l’attacco è partito qualche giorno fa, segnale che fa pensare i giorni siano passati per poter meglio studiare l’infrastruttura ed andare a colpire laddove il sistema era più vulnerabile.

Update:
Attualmente pare che il ransomware non sia propriamente il “vecchio” Cryptolocker ma Lockbit 2.0, ossia un virus leggermente meno potente del primo

Ok, ma quanti danni ci sono?

Difficile stimare con esattezza quanto sia il danno subito dalla regione, ovviamente questo passa banalmente dal pagamento del riscatto, tipicamente sconsigliato e vedremo dopo perché, ai costi di ripristino dei dati crittografati.

Per quanto riguarda gli utilizzatori finali si sono visti dei grossi problemi nella pagina di prenotazione delle vaccinazioni anti Covid, che subiranno inevitabilmente dei ritardi, oltre a quelli che ci saranno per il rilascio dei green pass digitali (solo io trovo sarcastico il fatto che un virus abbia fermato il portale di prenotazione dei vaccini?), però bisogna anche considerare fino a quanto in profondità è andato il Cryptolocker e quanti dati siano stati trafugati. Se ci fosse stata anche una copia di dati sensibili i problemi potrebbero aumentare esponenzialmente, ma normalmente chi utilizza questi sistemi è interessato più ai soldi del riscatto che ad altro.

Inoltre, se i backup erano su di un server locale connesso alla rete, significa che verosimilmente sono stati criptati anche quelli e che quindi un ripristino è sostanzialmente impossibile, questo perché l’unico modo di tornare ad uno stato di utilizzo accettabile è riportare il sistema ad un momento precedente a quello dell’attacco e della crittografia, staccare i sistemi dalla rete esterna ed eliminare il virus da quest’ultimo.

L’eliminazione del “virus” è in sé per sé piuttosto semplice, il problema è solamente quello di ripristinare la leggibilità dei dati.

Personalmente tenderei ad escludere l’idea di un attacco “terroristico” mirato nei confronti dell’Italia, se ci fosse stata una volontà distruttiva i dati sarebbero stati cancellati e i server “brasati”, invece che semplicemente crittografati.

Un problema con una soluzione non è più tale

Come già detto, un normale antivirus o anti-malware può identificare un file malevolo e bloccarlo prima della sua installazione, se questo è pervenuto via mail o via file sospetti, però in questo caso è necessario anche fare qualcosa in più.

Visto i sempre più frequenti attacchi tramite l’utilizzo di credenziali VPN valide, la soluzione più veloce e più rapida è quella di implementare un sistema di autenticazione a due fattori tramite OTP, istruendo il dipendete sul suo utilizzo e sulla sua importanza, nonostante spesso si abbiamo forti opposizioni in tal senso (lo dico per esperienza personale).

Questo ovviamente è volto alla prevenzione, nel caso in cui ci sia già stato l’attacco il mio suggerimento è quello di non pagare in nessuna maniera. Se si paga il riscatto ci sono due fattori da non sottovalutare:

  • Non è detto che il primo pagamento permetta di avere la chiave, magari gli hacker stanno solo tastando il terreno per vedere se siete disposti a pagare e soprattutto quanto.
  • Se si paga verosimilmente si sarà soggetti ad altri attacchi nel corso di 12/18 mesi, appunto perché si ha dato la percezione di avere dati troppo importanti e quindi che un secondo riscatto è richiedibile e verrà sicuramente pagato di nuovo.

Il ripristino dei dati da un backup è l’unica vera soluzione, magari sincerandosi di avere backup fisici (su nastro ad esempio) mantenuti in luoghi sicuri, oppure di avere backup in-cloud con servizi business specializzati.

Questi attacchi stanno diventando sempre più frequenti negli ultimi anni, quindi diventa sempre più importante cautelarsi e prevenire le problematiche, ricordandosi comunque che la maggior parte dei problemi deriva proprio da chi siede fra schermo e sedia, e che quindi una educazione informatica e di sicurezza dovrebbe sempre essere al primo posto di ogni azienda, piccola o grande che sia, altrimenti casi come quelli della regione Lazio non saranno più così tanto isolati.

 

The Gateway è il magazine settimanale di Lega Nerd che vi parla del mondo della tecnologia e dell’innovazione.