Come è ormai noto a tutti, compreso chi sbadiglia in modo irrefrenabile quando sente anche solo parlare di cybersecurity, il Centro di Elaborazione Dati (CED) della Regione Lazio sarebbe stato coinvolto in un attacco registratosi domenica 1 agosto che avrebbe portato alla cifratura di una gran parte dei dati gestiti, all’esposizione delle informazioni personali di circa il 70% della popolazione romana e delle province limitrofe alla Capitale nonché al rallentamento della campagna vaccinale nell’area interessata per via dell’esigenza di svolgere manualmente molte delle procedure prima informatizzate.
Sorvolando sull’uso spesso improprio della definizione “attacco hacker” che sembrerebbe ormai utilizzabile per qualsiasi tipo di azione malevola comprendendo anche lo spegnimento volontario di una ciabatta, ci si attende ora di capire quali siano state le effettive dinamiche della vicenda. Inizialmente si era parlato dell’utilizzo di un ransomware e successivamente nello specifico di un cryptolocker che non sono esattamente la stessa cosa anche se il secondo rappresenta una variante del primo.
Il ricorso al ransomware sembrerebbe ora confermato mentre l’ipotesi di una matrice ideologica, nello specifico l’azione di un gruppo no-vax o una risposta all’obbligatorietà del certificato vaccinale o gree-pass, starebbe perdendo rapidamente terreno. Contestualmente apparirebbe sempre meno probabile che l’attacco sia stato effettuato tramite azioni di social engineering o di phishing e, al contrario, si starebbe rafforzando la ricostruzione degli eventi basata su un’azione che ha avuto come target diretto le macchine colpite.
A tal proposito è utile fare riferimento all’intervento in proposito del divulgatore informatico Corrado Giustozzi (@cgiustozzi), qui riproposto dal profilo Twitter di Stefano Zanero, Associate Professor presso il Politecnico di Milano ed esperto di Cybersecurity:
CVD (grazie @cgiustozzi) pic.twitter.com/uChJJmybYd
— Stefano Zanero (@raistolo) August 2, 2021
Sempre Zanero fa notare come l’utilizzo di un ransomware sarebbe abbastanza curioso senza la volontà di richiedere un riscatto in cambio della decriptazione dei dati. Perché cifrare, e quindi rendere almeno teoricamente recuperabile, ciò che un attore mosso da motivazioni ideologiche sarebbe invece portato a danneggiare irreparabilmente?
2) C’è un solo motivo per CIFRARE i dati con un RANSOMware, ed è spiegato nel nome: chiedere un riscatto. Se uno vuole fare un danno e basta, non ha motivi per CIFRARE, si limita a PIALLARE tutto il piallabile. Quindi, la teoria “sono stati i no vax” è davvero poco credibile.
— Stefano Zanero (@raistolo) August 2, 2021
Un altro problema riguarda quello che potrebbe essere essere stato il destino dei dati: oltre che cifrati sono stati anche trafugati e trasferiti verso un server di terze parti? Siamo di fronte ad un data breach che potrebbe rendere l’azione malevola maggiormente monetizzabile?
Molte domande attendono delle risposte, comprese quelle dei più “maliziosi”, ma non per questo necessariamente in errore, secondo cui anche i backup sarebbero rimasti coinvolti nell’attacco (che non perde di gravità se non è “hacker”):
L’assessore alla sanità del Lazio ha appena affermato a Repubblica TV che i backup sono cifrati.
Ora io voglio vedere attentamente le RESPONSABILITÀ personali dei vertici e le sanzioni. Non è possibile che questa cosa passi con un volemosebbene.
— Matteo G.P. Flora (@lastknight) August 3, 2021