L'attacco hacker alla Regione Lazio è più grave di quello che sembra. Per due motivi. Il primo è la quantità di errori (verrebbe da dire imbarazzanti) che sono emersi negli ultimi giorni e che rappresentano la lezione perfetta di quello che non bisognerebbe fare quando si gestisce una rete di questo tipo. Nel caso del Lazio, precedentemente all'attacco vero e proprio gli hacker avrebbero avuto accesso all’account di un amministratore di sistema di LazioCrea, che sarebbe poi stato sfruttato la scorsa domenica per inserire all’interno della rete il ransomware LockBit 2.0, un malware che cripta tutti i file di un sistema e li rende irrecuperabili se non con una chiave in mano agli hacker.
Primo errore: questo amministratore di sistema, probabilmente colpito da un attacco phishing, non aveva attivato l’autenticazione a due fattori, cioè quell'ulteriore livello di sicurezza che, insieme a nome utente e password, richiede anche l’inserimento di un codice inviato per SMS. Se ti rubano la password, quindi, con questo sistema comunque non possono avere accesso alla rete. È la base della sicurezza che oggi è possibile attivare anche su social network e servizi di vario tipo, proprio per evitare che cadendo nella trappola di qualche mail un po' troppo perfetta i malintenzionati possano accedere ai nostri profili.
Il secondo errore è ancora più clamoroso: i backup, cioè l’unico elemento che consente di ripristinare un sistema colpito da ransomware, erano in rete insieme al resto dei dati e non separati. Il risultato? Il malware ha criptato pure loro. Ma tenere i backup in rete è davvero un’assurdità, soprattutto in un periodo in cui gli attacchi ransomware rappresentano una triste normalità nel panorama della sicurezza informatica. Per un virus in grado di criptare un'intera rete in poche ore, raggiungere ogni sistema connesso è un attimo e se tra questi figurano anche i backup il disastro è assicurato. E infatti.
In questa situazione d'altronde i backup rappresentano l’unica alternativa al pagamento del riscatto: se rivuoi i dati o paghi (cosa che in Italia, in teoria, non si potrebbe fare) o ripristini i backup. In questo modo si rinuncia ai file criptati ma vengono ripristinati i dati senza la necessità di trattare con gli hacker, magari rinunciando a qualche ultimissimo aggiornamento. Altrimenti il ransomware è chiaro: quando LockBit 2.0 viene installato sulla rete, sugli schermi dei computer appare la richiesta di riscatto e le stampanti in rete iniziano a stampare ulteriori richieste. Il Lazio, ora come ora, non ha alternative. Peraltro, come in tutti i casi simili, gli hacker hanno in mano i dati dei cittadini sottratti durante l'operazione e che potrebbero tranquillamente rilasciare in caso di mancato pagamento.
Il secondo motivo per cui questo attacco è più grave di quello che pensi è che è solo una goccia in un oceano di attacchi di questo tipo: non dobbiamo ignorare né questo né gli altri. Anche perché è chiaro che di attacchi così ne vedremo purtroppo molti, così come sta già succedendo ad aziende, amministrazioni e infrastrutture critiche in giro per il mondo. Il ransomware è un tipo di malware altamente distruttivo che non lascia scampo alla vittima: in poche ore sequestra letteralmente tutti i file e i sistemi e li nasconde dietro la richiesta di un riscatto. È l'attacco perfetto per richiedere il pagamento, spesso in Bitcoin non tracciabili, di un riscatto.
Con una minaccia così grande l'obiettivo non deve essere solo proteggere la prima linea di difesa, cioè quella del semplice login, ma anche impostare un'infrastruttura in grado di rispondere alle infiltrazioni: è facile cadere in attacchi phishing sempre più avanzati e per questo forse il dipendente non è nemmeno da mettere in croce, ma in questa situazione diventa imperativo rispettare almeno le misure di sicurezza basilari, come l’autenticazione a due fattori e la separazione dei backup. Altrimenti la situazione del Lazio, dove oggi non si possono prenotare i vaccini né accedere ai propri dati online, rischia di diventare una preoccupante quotidianità per tutti.
