Ospitiamo sul nostro blog gli amici di Red Hot Cyber per una riflessione sull'attacco ransomware che ha colpito la Regione Lazio. Vi proponiamo l'opinione di Agostino Pellegrino. In un mondo di opinioni, quello che realmente fa la differenza sono i fatti. In questi giorni domina le prime pagine (finalmente, direi, per tipologia di argomento ed amore rispetto allo stesso) la vicenda relativa all’attacco subìto dalle infrastrutture IT della Regione Lazio.
Il “disquisitore italiano”, ovviamente, è passato da virologo a climatologo ad esperto di sicurezza informatica in un tempo incredibilmente breve, mostrando ancora flessibilità e spunti tecnici tali che il MIT, domani mattina, potrebbe anche chiudere.
Regione Lazio, la linea temporale degli eventi
Ciò che interessa noi, però, è proprio mantenerci distanti dalle opinioni e cercare di ricostruire tecnicamente i passaggi che conducono ad un disastro, perché tale è da intendersi nel 2021 un evento di queste proporzioni.
Ricostruiamo una timeline degli eventi principali che hanno caratterizzato sino ad ora la “Breach Regione Lazio”:
- 01 Agosto 2021: comunicato ufficiale dell’attacco subito dalla Regione Lazio (viene immediatamente diffusa l’ipotesi Ransomware dalle maggiori testate)
- 02 Agosto 2021: ulteriori voci indicano come eventuale punto di accesso un client VPN di un dipendente di un’azienda esterna ed un’infezione avente come vettore un Remote Access Trojan, si ipotizzava Emotet, e come payload, il ransomware vero e proprio, Lockbit 2.0.
- 03 – 04 Agosto 2021: dichiarazioni ovviamente confusionarie dal mondo politico. Zingaretti: “La situazione è seria e molto grave”…”Stiamo difendendo la nostra comunità da questi attacchi di stampo terroristico.” Attribuzione attacco ad organizzazione straniera che utilizza RansomEXX (Sprite Spider). Accantonata ipotesi Lockbit 2.0.
- 05 Agosto 2021: Zingaretti comunica recupero backup su sistemi protetti via hardware di recente installazione (sembra che tutto vada per il verso giusto, appaiono però anomali i tempi di “ricerca” del backup; quasi sei giorni sembrano veramente troppi)
- 06 Agosto 2021: 795 record di account di accesso ai sistemi della Regione Lazio in vendita su Dark Web (sembra si avvii una manovra di seconda estorsione: ma i dati non sono stati recuperati?)
- 07 Agosto 2021: nuova lettera di ricatto da parte di “organizzazione terroristica” che chiede contatti diretti col “CEO” o con un legale rappresentante (ma il backup non era al sicuro?)
Inquadrata la linea temporale degli eventi ed i punti di incertezza nella gestione delle fasi di “Incident Response”, analizziamo quella che avrebbe dovuto essere stata la catena di azioni da intraprendere con un approccio rigoroso, magari ispirato alla Cyber Forensics, fusione della Cyber Security con l’Informatica Forense classica, che importa le tecniche di indagine da White Hat, il “pirata buono” gestendole con rigore forense, al fine di garantire ripetibilità e solidità all’indagine stessa, nonché di conferire valore legale ai dati raccolti.
