È il primo agosto quando, sul profilo Twitter della regione Lazio viene resa ufficiale la notizia di un attacco al centro elaborazione dati distrettuale: “È in corso un potente attacco hacker al ced regionale. I sistemi sono tutti disattivati compresi tutti quelli del portale Salute Lazio e della rete vaccinale. Sono in corso tutte le operazioni di difesa e di verifica per evitare il protrarsi dei disservizi. Le operazioni relative alle vaccinazioni potranno subire dei rallentamenti. Ci scusiamo per il disagio indipendente dalla nostra volontà”.

Secondo gli analisti che si sono occupati di ricostruire l’accaduto, l’accesso iniziale sarebbe avvenuto utilizzando le credenziali VPN - ossia la rete virtuale che permette di accedere al sistema da remoto - di un dipendente di Frosinone. Una volta effettuato il primo accesso, da un altro computer si sarebbero stabilite delle ulteriori connessioni valendosi di credenziali admin valide.

A quel punto, gli hacker avrebbero inserito una backdoor, cioè una porta d’accesso per bypassare l’autenticazione in un sistema informatico e che permette di controllarlo, e il criptatore, che codifica tutti i dati e attiva il ransomware, un malware che limita l’accesso al dispositivo infettato e che prevede il pagamento di un riscatto (in inglese ransom) per la sua rimozione.

I pirati informatici si sono dunque procurati l’accesso al sistema sfruttando le semplici credenziali, cioè username e password, di un dipendente e poi, servendosi del RAT Emotet, un trojan ad accesso remoto tra i più noti, hanno infettato il sistema. Si ritiene che la protezione tramite autenticazione a due fattori, che prevede che oltre alla password si debba autenticare la propria identità con un secondo metodo come, ad esempio, il riconoscimento facciale o la conferma tramite un messaggio ricevuto sul proprio telefonino, avrebbe potuto rendere più complicato -se non vanificato - l’operato degli hacker.

Purtroppo, però, un simile percorso di protezione non era previsto per l’accesso al sistema della Regione Lazio, e ad aggravare la situazione vi è il fatto che, proprio al fine di costringere la vittima a pagare il riscatto, questo tipo di malware sia in grado di infettare anche le eventuali copie in backup dei dati criptati, che comunque nel caso specifico non sembravano essere state prodotte: ciò significa che, in mancanza della chiave, il loro ripristino è impossibile.

Della crisi si sta occupando l’NSC, il Nucleo Speciale sulla sicurezza Cibernetica, istituito nell’ambito del Dipartimento delle Informazioni per la Sicurezza con il compito principale di coordinare le azioni dei diversi soggetti istituzionali coinvolti e interessati nelle attività di prevenzione e preparazione a eventuali situazioni di crisi cibernetica e di attivazione delle procedure di allertamento.

All’esito delle riunioni seguite all’insorgere dell’emergenza, gli esperti dell’NSC hanno informato il Governo delle conseguenze dell’attacco e avviato la verifica di quali siti, oltre a quello di prenotazione dei vaccini, siano stati bloccati, e quali dati possano essere stati sottratti, inclusi quelli sanitari.

Difatti, non solo il settore sanitario, inclusi CUP e RECUP, ma tutte le attività della Regione sono state danneggiate dall’attacco, benché, ha assicurato l’assessore alla Sanità Alessio D’Amato, “sono pienamente funzionanti i sistemi informativi della rete di emergenza urgenza Numero Unico 112 e 118. Operativi anche tutti i sistemi delle reti tempo-dipendenti e il sistema ospedaliero SIO e il SIES.

Operativo il sistema trasfusionale”. Durante la conferenza stampa del 2 agosto, i tecnici hanno dichiarato che quasi tutto il mondo virtuale delle installazioni della Regione Lazio ha subito gli effetti dell’incursione pirata. Considerato che il CED della Regione Lazio gestisce i dati sanitari di 5,8 milioni di persone e conserva dati anagrafici dettagliati, cartelle e storie cliniche, e che gestisce numerosi dati e servizi regionali non legati all’ambito sanitario, la quantità di informazioni sensibili che si ipotizza sia stata sottratta potrebbe avere una portata vastissima, fino ad arrivare a comprendere quelle dell’intera popolazione della Regione.

Tra questa, vertici delle forze armate e dei servizi segreti, grandi dirigenti, banchieri, diplomatici, le alte cariche dello stato e politici, come il presidente Sergio Mattarella, vaccinatosi allo Spallanzani, e il premier Mario Draghi che aveva ricevuto il vaccino presso l’hub della stazione Termini poiché, dagli onorevoli ai ministri, chi si è immunizzato a Roma ha depositato i propri dati nei server della Regione Lazio.

Durante l’immediata conferenza stampa, tuttavia, il presidente della Regione Lazio Nicola Zingaretti aveva tranquillizzato la popolazione affermando che: “Malgrado l’attacco ci abbia costretto a sospendere l’erogazione dei servizi nessun dato sanitario è stato trafugato dai criminali responsabili”. A supporto di ciò, il capo della Polizia Postale Nunzia Ciardi ha sostenuto che al momento non ci fosse “evidenza che siano stati presi i dati sanitari delle persone”, che si trovavano su un server diverso rispetto a quello attaccato dagli hacker, e aveva sottolineato l’estrema delicatezza del caso che riguarda dati sanitari ottenuti in tempi di pandemia e, di conseguenza, particolarmente critici.

La stessa Ciardi ha poi lasciato intendere che una situazione del genere non fosse del tutto inaspettata: “Era solo questione di tempo. Serve massima attenzione per la cybersicurezza, in società digitalizzate come le nostre il rischio è altissimo".

Non è ancora chiara l’area geografica di provenienza né la matrice dell’attacco: gli investigatori del Centro nazionale anticrimine informatico per la Protezione delle infrastrutture critiche, diretti dalla stessa Nunzia Ciardi, ritengono che possa trattarsi di “crime as service”, cioè mercenari del dark web con il compito di mettere in crisi i sistemi di istituzioni pubbliche e aziende private con malware, link o mail trappola, per immettere crypto locker, un tipo di ransomware progettato per infettare i computer per mezzo di un virus Trojan e programmato per attaccare sistemi Microsoft Windows - ragion per cui funziona solo su PC con sistema operativo Windows XP, Vista, Windows 7 o Windows 8 - bloccando l’accesso ai file, e in grado di rendere i dati inutilizzabili fino all’eventuale pagamento del riscatto.

Il Trojan si diffonde come allegato e-mail e viene eseguito quando la vittima apre il file zip allegato inserendo la password inclusa nel messaggio e tenta di aprire il file pdf contenuto. Una volta attivato, questo tipo di virus crittografa i file memorizzati a livello tale da renderli irrecuperabili.

Il CED, che gestisce l’intera struttura informatica regionale, è stato disattivato, con conseguenze sulla campagna vaccinale della Regione Lazio

Il blocco di tutti i sistemi informatici ha inevitabilmente comportato il rallentamento della campagna vaccinale, poiché gli operatori hanno dovuto svolgere parte delle registrazioni dei dati su supporto cartaceo. L’assessore alla Sanità Alessio D’Amato ha tuttavia dichiarato che il blocco riguarda esclusivamente la possibilità di procedere alla prenotazione di nuove somministrazioni, mentre la campagna vaccinale procede con la somministrazione di quelle già prenotate, e che i dati dei vaccinati nel periodo di sospensione del sistema, che si stima non sarà inferiore alle due settimane, verranno provvisoriamente registrati nell’anagrafe vaccinale regionale anziché in quella nazionale, anche se restano dubbie le ripercussioni che ciò potrebbe avere sull’emissione automatica dei Green Pass.

I numeri della campagna vaccinale alla data dell’attacco hacker nel Lazio e in Italia

Al 1°agosto 2021, giorno in cui il CED della Regione Lazio ha subito l’offensiva informatica, si stima che nella regione la doppia dose fosse stata ricevuta da più del 70% della popolazione adulta. In Italia aveva completato il ciclo vaccinale il 60,26% della popolazione over 12, con un totale di 32.547.009 di vaccinati e la somministrazione di 68.742,231 dosi. Si è in tal modo raggiunto l’obiettivo prefissato per la fine di luglio, e che permette di sperare di arrivare all’immunità di gregge entro la fine di settembre. Il ministro Speranza ha commentato questo dato affermando che ci si trova di fronte a un risultato che permette di guardare con maggiore fiducia al futuro, ricordando l’importanza dei vaccini nella lotta alla pandemia come miglior strumento di protezione nostra e altrui.

Restano tuttavia ancora due milioni di over 60 privi di vaccinazione, e la maggior parte di adolescenti non inizieranno/completeranno il ciclo prima che cominci il nuovo anno scolastico.

Le reazioni all’attacco

Il presidente della Regione Lazio, Nicola Zingaretti, ha definito l’attacco hacker “pesantissimo”, “l’offensiva informatica più grave mai avvenuta nel paese”, “un fatto gravissimo, che blocca un servizio fondamentale”. Nell’imminenza dei fatti, Zingaretti ha rassicurato la comunità sul fatto che ci si fosse già attivati per porre in essere gli strumenti a difesa di questi attacchi definiti “di stampo terroristico” responsabili di una “situazione molto seria e molto grave”.

Ha poi precisato che “i dati finanziari e i dati del bilancio non sono stati toccati.

Appena tutto sarà ripristinato intendiamo dare priorità assoluta ai servizi nel campo della salute. 112 e Ares 118 sono attivi e non sono mai stati interrotti così come i numeri della sala operativa della protezione civile", ha detto ancora il presidente della Regione Lazio. Inoltre - è stato specificato - non ci sono state ripercussioni sui ricoveri né sugli interventi di natura chirurgica”.

Il riscatto

Secondo alcune fonti, domenica sera i tecnici della Regione avrebbero trovato nei sistemi una richiesta di riscatto per una somma non precisata ma comunque consistente in ingenti somme di bitcoin. Inizialmente, il governatore del Lazio Nicola Zingaretti aveva comunicato che nessuna richiesta di riscatto fosse giunta nelle sedi competenti: "Raccomandazione sulle fonti circolano e sono parte del problema tante voci, come quelle del riscatto, che sono totalmente infondate.

Allo stato non esistono e non riguardano l'istituzione regionale che non tratta con chi sta attaccando, le autorità stanno lavorando nelle indagini". "Non è stata formalizzata alcuna richiesta di riscatto rispetto a quanto è avvenuto", ha detto ancora Zingaretti in merito alle notizie che erano emerse nelle ultime ore riguardo a una richiesta di riscatto da parte dei pirati informatici.

Invece, la richiesta di riscatto pare essere arrivata nella serata del 1° agosto. Ciardi ha spiegato che tale richiesta non sorprende in quanto normale completamento di un attacco informatico ransomware, definito una “specialità molto redditizia per la malavita organizzata transnazionale”: dopo l’offensiva, infatti, “scatta la richiesta di riscatto, con cifre fra i 500 mila e i 6 milioni di euro, in bitcoin per non essere identificati. La malavita organizzata e transnazionale si è specializzata in questo genere di ricatti negli ultimi 2-3 anni. Un’evoluzione con rapporto costi-benefici più redditizio. E in molti casi fare il backup dei dati non è sufficiente” proprio perché, come già detto, i più sofisticati tipi di malware, utilizzati in questo tipo di aggressioni, riescono a infettare anche le copie dei dati originali.

La quantificazione della richiesta non è al momento nota, anche perché l’avviso con le istruzioni per il conseguimento dello sblocco dei dati conteneva un collegamento che, su suggerimento della polizia postale, non è stato attivato. Di solito, chi progetta ransomware ha una buona conoscenza della propria vittima, che ha studiato accuratamente e di cui conosce in particolare il fatturato, che diventa poi il parametro in base al quale viene stabilito il cosiddetto “giusto riscatto”: maggiore è il fatturato, maggiore è la somma richiesta per porre fine all’attacco e neutralizzarne gli effetti. In luglio, per esempio, si è registrata la cifra record di 70 milioni di dollari richiesti a duecento aziende statunitensi in un solo attacco. Anche in Italia la situazione non è molto differente, e conferma il trend in crescita degli attacchi malware: di analoghi ne sono stati scoperti nell’aprile dello scorso anno al San Raffaele di Milano e allo Spallanzani di Roma, ma solo nell’ultimo mese ce ne sono stati altri 57 in varie aziende. Le richieste di riscatto sono state formulate tutte in bitcoin, una valuta non tracciabile che passa da un portafoglio virtuale all’altro.
© RIPRODUZIONE VIETATA