L'attacco hacker alla Regione Lazio: «Vittime di una offensiva criminosa»

Il presidente della Regione Lazio, Nicola Zingaretti ha parlato, senza mezzi termini, di «un attacco criminale o di stampo terroristico. Il Lazio è vittima di una offensiva criminosa, la più grave mai avvenuta sul nostro territorio nazionale». Nella notte a cavallo tra il 31 luglio e il 1° agosto i sistemi informatici della Regione Lazio sono stati colpiti da un attacco hacker che ne ha paralizzato la funzionalità. Come commentato dallo stesso Zingaretti nelle ore successive, «da questa notte è in corso un pesantissimo attacco hacker contro i sistemi informatici LazioCrea che gestiscono le prenotazioni dei vaccini. Un fatto gravissimo che blocca un servizio fondamentale. Ci scusiamo con i cittadini per gli inevitabili disservizi».

Gravissimo attacco - L’attacco ha colpito il Centro elaborazione dati, Ced, che gestisce l’intero sistema informatico della Regione. Nel mirino degli hacker è finito anche il sistema informatico che gestisce la campagna vaccinale regionale contro il coronavirus. Si è appreso che si è trattato di un gravissimo attacco informatico che potrebbe aver messo in pericolo la sicurezza nazionale e i dati sensibili di una larga fetta della popolazione italiana, comprese figure di spicco come il Presidente della Repubblica Sergio Mattarella e il Presidente del Consiglio Mario Draghi.

A oggi, si ritiene che l’attacco sia partito dalla Russia, per poi rimbalzare in rete tra Austria e Germania. La falla nel sistema è stata trovata attraverso le credenziali Vpn di un dirigente di Frosinone, avente la qualifica di amministratore della rete della società LazioCrea, società partecipata che si occupa della gestione del sistema virtuale della Regione Lazio. Da questo computer, rimasto acceso, è stato caricato quasi due mesi fa un ‘malware’ artigianale che si è diffuso nel sistema informatico del Ced molto rapidamente. A essere bucata, secondo Repubblica, è stata Engineering Spa, società specializzata in servizi informatici che lavora con svariate amministrazioni pubbliche (oltre alla Regione Lazio ci sono Veneto e Lombardia, ma anche il Comune di Milano).

Nel momento in cui ci si è accorti dell’attacco e si è cercato di far ripartire il sistema, si è attivato un secondo attacco. Nello specifico, il sistema informatico della Regione Lazio è stato infettato con Cryptolocker, un software ben conosciuto dagli esperti di sicurezza informatica ma che è ugualmente riuscito a fare molti danni.

Ransomware - Quello che ha colpito il Lazio è stato un attacco ransomware: prevede che gli hacker prendano il controllo di tutto, o solo di una parte, del sistema informatico. Per "liberarlo", viene chiesto in cambio un riscatto, in inglese ‘ransom’. Tale trojan, ideato nel 2013, ha lo specifico scopo di criptare i dati della vittima per poi richiedere una ingente somma, così da procedere alla decriptazione degli stessi. Il ransomware cripta i dati iniziando da quelli meno utilizzati, di modo che l’utente non abbia una immediata percezione del pericolo e continui a usare il computer. Al momento di riavviare il pc, si attiva il processo che porta a crittografare i dati e, a questo punto, non compare più il sistema operativo ma la richiesta di riscatto. La schermata che viene visualizzata alla fine del processo contiene, infatti, le istruzioni per il pagamento, in genere in Bitcoin per via della loro complessa tracciabilità.

Nel caso specifico, sui computer connessi al sistema informatico laziale è comparsa questa rivendicazione nelle primissime ore di domenica: «Hello Lazio! I vostri file sono stati criptati. Per favore non cercate di modificarli o rinominarli perché questo può causare una perdita dei dati e un malfunzionamento nel decriptaggio. Qui c'è il vostro link personale con tutte le informazioni che riguardano questo incidente. Non condividetelo se volete che resti riservato». Il messaggio non è stato aperto ma, secondo gli inquirenti citati dal Corriere della Sera, conterrebbe la cifra del riscatto (pare cinque milioni di euro) e le modalità di versamento (probabilmente in Bitcoin).

I danni collaterali - Come spiegano gli esperti, «se non c’è un backup, non c’è alternativa». In effetti, sia il sito della Regione Lazio che quello relativo alla prenotazione dei vaccini contro il coronavirus sono ancora offline. Le autorità regionali prevedono che la piattaforma vaccinale non tornerà disponibile prima di almeno 48 ore. Il dato preoccupante dell’attacco informatico in corso è che, se da una parte servizi essenziali relativi alla sanità pubblica sono bloccati, con danni inimmaginabili per migliaia di persone, d’altra parte vi è il serio pericolo che un numero indefinito di dati sensibili possano essere venduti nel Dark Web per fini illeciti (nonostante le rassicurazioni in tal senso dello stesso Zingaretti).

La verità è che l’entità del danno non è ancora nota né lo sono gli effettivi danni e i tempi di ripristino dei servizi informatici. Come conferma il capo della Polizia Postale Nunzia Ciardi, «non c’è evidenza che siano stati presi i dati sanitari delle persone. Questi si trovano su di un server diverso, che non è stato interessato dall’attacco». Ciò che sarebbe finito sotto attacco sarebbe, invece, il sistema di prenotazione Cup che gestisce tutti gli appuntamenti per screening, visite ospedaliere e analisi della Regione e quello relativo alle prenotazioni dei vaccini anti Covid.

Caccia ai responsabili - Le ipotesi, al vaglio degli inquirenti, sui possibili responsabili del gravissimo attacco informatico sono diverse. Secondo quanto scritto dal Corriere della Sera, potrebbe trattarsi di un ‘crime as service’ portato avanti da mercenari del Dark Web profumatamente pagati per mandare in tilt i sistemi informatici d'istituzioni pubbliche e aziende private per fini meramente economici. Secondo quanto riferito al Messaggero, però, più di un investigatore nutrirebbe dei dubbi sulla presunta finalità estorsiva: gli hacker, infatti, sono perfettamente a conoscenza della difficoltà di guadagnare del denaro da un Ente pubblico, vincolato da un deficit cronico e da una serie di lungaggini amministrative che non consentono di operare pagamenti non pianificati. Nel fascicolo, aperto contro ignoti, dai pm dell’antiterrorismo e dal pool reati informatici della Procura di Roma, si procede per diversi reati che vanno dall’accesso abusivo a sistema informatico a tentata estorsione, fino all'aggravante della finalità terroristica e di eversione dell'ordine democratico.

Le tracce lasciate dagli hacker che hanno forzato il sistema informatico laziale conducono, come detto, alla Germania ma, come ha spiegato il direttore di Repubblica Maurizio Molinari, «in genere i cyber-criminali operano nei territori dell’ex Unione Sovietica. Prendono in affitto piattaforme di software a prezzi molto bassi, 400-500 euro, per poi lanciare attacchi aggressivi che riescono a imprigionare intere banche dati per poi chiedere riscatti con cifre che vanno dai 500 mila ai quattro milioni di euro». 

Un atto di terrorismo informatico - Il Presidente della Regione Lazio Zingaretti aveva parlato subito di «offensiva terroristica» e, in effetti, in comune con le più comuni azioni terroristiche vi è l’effetto destabilizzante e caotico che simili attacchi informatici creano. Le modalità di azione sono state simili a quelle messe in atto in altre recenti occasioni. Primo fra tutti l’attacco informatico subito, lo scorso settembre, dalla clinica universitaria di Dusseldorf dove oltre 30 computer erano stati criptati con conseguenze disastrose: diversi sistemi dell’ospedale erano saltati e si era reso necessario chiudere l’accesso al pronto soccorso e posticipare interventi chirurgici già programmati. Una donna aveva perso la vita in quelle ore concitate.

Lo stesso dicasi per gli attacchi subiti dagli Stati Uniti nella rete di oleodotti di Colonial Pipeline che hanno paralizzato circa 9000 chilometri di condutture. La Colonial Pipeline è la più grande rete di oleodotti degli Stati Uniti e dopo l’attacco informatico, subito lo scorso maggio, ha dovuto pagare cinque milioni di dollari al gruppo hacker DarkSide come riscatto in cambio di uno strumento di decrittografia per ripristinare il sistema informatico. Il gruppo hacker ha rivendicato l’attacco dicendo di non agire per finalità politiche ma semplicemente per denaro anche se non è escluso che, dietro DarkSide, ci sia un committente che abbia beneficiato dello stop di approvvigionamento di benzina e gasolio nelle aree rifornite dalla Colonial Pipeline.

Respinti altri attacchi - Nelle scorse ore ci sono stati altri attacchi condotti contro il Ced laziale ma le autorità hanno dichiarato di averli tutti brillantemente respinti, anche se rimane il fatto che i siti interessati dall’azione degli hacker saranno ancora offline, non si sa fino a quando. «Grazie ai grandissimi geni che hanno fatto l’attacco hacker alla Regione Lazio. Oggi mio padre è
andato a prendere tutta la fornitura di alimenti, sonde e siringhe e non si è riusciti a concludere nulla. Una giornata buttata: persone con disabilità e caregivers, ringraziano!». Questo l’amaro sfogo della madre di Sirio Persichetti, un bambino di quasi otto anni con diagnosi di tetraplesi, rimasto senza l’occorrente medico a causa dell’azione di anonimi cyber-criminali. Uno tra i tanti casi di pazienti danneggiati gravemente da una sconsiderata azione criminosa.