L’attacco ransomware a regione Lazio e la Threat Intelligence

Non era una questione di se, ma una questione di quando.

La crescita rapida del Cyber Crime, le condizioni particolari create dalla pandemia e il continuo ingigantirsi del perimetro digitale hanno creato una sorta di tempesta perfetta. A farne le spese questa volta la regione Lazio che si sta trovando ad affrontare uno dei più grandi attacchi Criminal Hacker che abbiano mai colpito il nostro Paese.

Le informazioni che abbiamo non sono ancora confermate al cento per cento e tasselli del puzzle continuano a emergere; ciò che sappiamo al momento è che tramite le credenziali sottratte a un dipendente è stato possibile per gli aggressori lanciare un attacco Ransomware nei confronti dei sistemi informatici regionali.

VPN nel mirino

Stando alle prime ricostruzioni, l'attacco ha avuto inizio quando un dipendente della regione Lazio stanziato si è visto sottrarre le proprie credenziali VPN.

Non è un caso; questo strumento che permette di stabilire connessioni da remoto verso il luogo di lavoro fisico è stato adottato in tantissime realtà sia private sia pubbliche a partire dall'inizio della pandemia proprio per facilitare lo smart working. Ma questa adozione massiccia ha attirato l'attenzione dei Criminal Hacker: a riprova di ciò il fatto che gli attacchi che hanno avuto inizio tramite credenziali VPN sottratte sono aumentati enormemente negli ultimi 18 mesi.

Ciò che comunque è successo dopo segue – a quanto sembra – il modus operandi di tanti altri attacchi ransomware. Una volta violata la VPN, infatti, è stato possibile per gli aggressori utilizzare il malware Emotet, per portare a termine quella che è nota come Escalation di privilegi: di fatto hanno acquisito credenziali di amministratore di sistema per avere completo accesso a tutta la rete bersaglio. Da lì è stato abbastanza semplice per loro ottenere una backdoor che permettesse di scaricare e attivare il ransomware.

Questo ha proceduto a criptare un altissimo numero di dati sensibili e a non renderli disponibili. I Criminal Hacker hanno fatto seguito a questo attacco chiedendo un significativo riscatto per avere la chiave in grado di sbloccare tutti i sistemi non accessibili al momento.

Come funziona un ransomware

Non è un caso che a colpire la regione sia stato proprio un attacco Ransomware. Ormai da svariati anni questo tipo di malware è diventato la tecnica principe - in termini di costo/beneficio - per i Criminal Hacker di realizzare i propri introiti.

Ma oltre al grande guadagno che i Criminal Hacker riescono a trarre dagli attacchi Ransomware, un altro grande vantaggio è la varietà di tecniche a loro disposizione per dare inizio ad un attacco. I metodi utilizzati dai Criminal Hacker per colpire i propri bersagli sono innumerevoli, ma rientrano in due macrocategorie: lo sfruttamento di vulnerabilità/falle tecniche e lo sfruttamento del "fattore umano". Spesso, infatti, i Ransomware hanno bisogno dell'aiuto delle proprie vittime (aiuto inconsapevole ovviamente) per entrare nei computer: questo insieme di tecniche è noto come Social Engineering.

Nel contesto della sicurezza informatica, il social engineering è l'uso dell'inganno per manipolare le persone nel divulgare informazioni riservate o personali che possono essere utilizzate a fini fraudolenti. In altre parole, le persone possono essere ingannate nel condividere informazioni che altrimenti non divulgherebbero.

Possiamo speculare che le credenziali VPN sottratte al dipendente in questione possano anche essere state ottenute tramite una delle svariate tecniche di social engineering a disposizione nell'arsenale dei Criminal Hacker. Anche se più probabilmente queste credenziali fossero già state compromesse da tempo, come spiegheremo più avanti.

Le conseguenze immediate dell'attacco

Tornando al caso Lazio, sappiamo che attualmente la VPN utilizzata per entrare nei sistemi è ancora offline; mentre il sito di prenotazione delle vaccinazioni ha subito significativi disservizi.

Sempre secondo fonti ufficiali, non è ancora stato possibile quantificare la richiesta di riscatto perché l'avviso apparso dopo l'attacco invitava a seguire una serie di istruzioni per ottenere lo sblocco dei dati, ma il collegamento non è stato attivato, come suggerito dalla Polizia postale, proprio per evitare conseguenze ancora più gravi.

Difficile stabilirne l'entità ma in genere chi progetta ransomware studia attentamente la propria vittima e stabilisce una cifra commisurata in base al fatturato della vittima.

I prossimi risvolti

La prudenza consigliata dagli esperti della polizia postale non è casuale, è molto probabile che dietro questo attacco si celi un gruppo di Criminal Hacker internazionale. La parola Criminal, d'altronde, può già far intuire che questi - come tutti i criminali - sono in qualche modo connessi ad altre organizzazioni.

Non possiamo avere certezza che i dati "tenuti in ostaggio" dal gruppo responsabile dell'attacco non siano già stati venduti all'interno del Dark Web ad altri attori. Come non possiamo avere certezza che – qualora si decidesse di pagare il riscatto – i sistemi tornino operativi immediatamente.

Non dobbiamo dimenticarci, che oltre al profitto che potrebbero trarre dal riscatto in sé e per sé, nel caso ci fosse stata una sottrazione di dati sensibili, in particolare di natura sanitaria, questi avrebbero un valore intrinseco sul Dark Web altissimo…

Non è un caso, quindi che nell'attacco al CED Lazio, ci sia stata un'attenzione particolare verso i sistemi del servizio regionale sanità. Una delle aree più critiche del sistema Paese, che non a caso, sarà oggetto del prossimo report Swascan, con un benchmark comparativo con gli altri Paesi europei.

Un enorme campanello d'allarme

L'ondata di Cyber Crime che sta colpendo l'Italia e di riflesso tutto l'occidente, non è un fenomeno temporaneo. Un barometro a titolo esemplificativo possono essere i dati raccolti negli ultimi 30 giorni da Swascan tramite il suo servizio di Malware Threat Intelligence.

Nel periodo compreso tra il 2 luglio ed il 2 agosto, infatti, sono stati osservate in azione oltre 90mila tipologie di malware; 2194 di nuova concezione e mai viste prima. Sintomo di come il Cyber Crime sia diventato una delle principali voci all'ordine del giorno quando si tratta di sicurezza.

In questo senso, negli ultimi mesi, anche nel nostro Paese sono stati fatti passi in avanti con la creazione dell'Agenzia per la cybersicurezza nazionale. La struttura necessaria e indispensabile per il cambio di strategia unita all'approccio corretto per tutelare istituzioni, aziende e privati. Certo, ancora occorrono investimenti maggiori, anche in competenze, risorse umane e tecnologie. Ma in uno scenario di cambiamento dei nuovi rischi cyber è di vitale importanza un centro di competenza "faro" e guida della cyber security.

Il caso Ced della Regione Lazio potrebbe essere stato solo un enorme campanello d'allarme: "L'avversario", non è più l'hacker incappucciato che opera negli scantinati bui e umidi come per anni è stato dipinto nell'immaginario comune.

I Criminal Hacker oggi hanno formato una vera e propria economia criminale parallela: dotata di un mercato e di gruppi organizzati con una gerarchia e infrastruttura definita che operano come vere e proprie imprese del crimine informatico.

Dall'altra parte della scacchiera, insomma, non c'è più il singolo avversario che bloccava il nostro computer personale con un virus e chiedeva 10 euro via PayPal per sbloccare il tutto; il "nemico" è ora in grado di bloccare città, regioni e - perché no - in futuro anche Stati.

L'augurio è che sotto l'egida di questo nuovo organismo i tre pilastri della sicurezza informatica (Sicurezza Predittiva, Preventiva e Sicurezza Proattiva) del nostro Paese vadano a poggiare su solide basi.

Si gioca d'anticipo

In particolare in un contesto come quello di cui abbiamo parlato, gioca un ruolo fondamentale la sicurezza predittiva.

Abbiamo la certezza che il tutto sia partito dalle credenziali compromesse di una VPN; ovvero gli attaccanti sono stati in grado di recuperare email e password del dipendente e le hanno utilizzate per iniziare l'effetto a cascata che ha portato al ransomware.

Queste potrebbero essere state ottenute in due modi: il primo è tramite una semplice ricerca nei database di email compromesse online; il secondo potrebbe essere tramite una botnet.

Cosa significa? Che nel primo caso la combinazione email e password potrebbe essere stata trovata online all'interno dei database Dark Web o che queste credenziali potrebbero essere state esfiltrate da una rete botnet silenziosamente attiva all'interno dei sistemi.

Ma è possibile, quindi, anticipare questo tipo di minaccia? È possibile conoscere se le credenziali che vengono utilizzate nel perimetro aziendale sono state compromesse o se è attiva una botnet? Sì, all'interno di quel ciclo la sicurezza della predittiva che abbiamo citato come fondamento della cyber security esistono le così dette soluzioni di Threat Intelligence.

Queste, attraverso servizi come la Domain Threat Intelligence e la Cyber Threat Intelligence – senza toccare alcun asset – operando solo a livello di informazioni pubbliche e semipubbliche, sono in grado di reperire tutte le informazioni necessarie a prevenire questo tipo di minacce. Rilevano la presenza di credenziali compromesse o attività botnet (e molto altro ancora) ben prima che venga lanciato qualsiasi attacco.

Di fatto, si viene a conoscere in anticipo l'esposizione del rischio del proprio perimetro. È una componente fondamentale del ciclo di Cyber Security. Contro il Cyber Crime non è più possibile solo giocare di risposta, ma diventa vitale andare in anticipo.

L'adozione di una attività puntuale di Threat Intelligence poteva evitare questo attacco ransomware? Non abbassiamo la guardia.