L'attacco hacker al Lazio sarebbe avvenuto tramite una falla alla VPN

L'attacco hacker al Lazio sarebbe avvenuto tramite una falla alla VPN

Secondo le recenti informazioni che stanno circolando sugli organi di informazione nazionale, l'attacco hacker alla Regione Lazio sarebbe avvenuto sfruttando una falla nella VPN attraverso un dipendente che lavorava in smart working

di pubblicata il , alle 16:51 nel canale Sicurezza
 

Nella mattinata di domenica, la Regione Lazio ha subito un attacco ransomware che ha crittografato i file nel suo data center e ha mandato in tilt la sua rete informatica. Nelle ultime ore sembra sia stato indentificato il tipo di ransomware utilizzato dagli hacker, non di tipo Cryptolocker tradizionale come si pensava in un primo momento ma un più moderno LockBit 2.0. Ma come gli attaccanti sono riusciti ad ottenere l'accesso alla rete locale necessario per poter installare il ransomware?

Come gli attaccanti sono riusciti ad ottenere l'accesso alla rete locale necessario per poter installare il ransomware?

Secondo una ricostruzione del Corriere della Sera, che ha appreso l'informazione da fonti vicine alla Polizia Postale, l'attacco avrebbe sfruttato la pratica dello smart working e una falla della VPN (Virtual Private Network) utilizata dalla Regione Lazio. Questo tipo di sistema permette a chi lavora da remoto di accedere alla rete interna dell’azienda e accedere a dati, programmi e file come se si trovasse fisicamente sul posto di lavoro.

Per accedere alla VPN serve un programma che possa interagire con questo tipo di rete e inserire delle credenziali abilitate. Secondo le ultime indiscrezioni, però, la VPN usata dalla Regione Lazio, gestita tramite Engineering SPA, la società specializzata in servizi informatici che lavora con le principali amministrazioni pubbliche, non sarebbe stata dotata di autenticazione a due fattori. Questa misura, come noto, richiede un'ulteriore forma di autenticazione oltre alle credenziali di base, che può essere un SMS sul telefono o un’app che rilascia un codice.

Come ricostruito da Bleepingcomputer, sugli schermi dei terminali della Regione è apparsa la scritta "Hello Lazio! I vostri file sono stati criptati. Per favore non cercate di modificarli o rinominarli, potrebbe portare a una perdita dei dati" e poi il link per il pagamento del riscatto in Bitcoin, quasi sempre utilizzati dagli attaccanti perché difficilmente tracciabili.

Del resto, non è la prima volta che attacchi del genere vengono realizzati contro istituzioni sensibili sfruttando lo smart working e le VPN. Sempre in questo modo, infatti, era stato eseguito l'attacco a Colonial Pipeline, un gasdotto cruciale degli Stati Uniti la cui interruzione del servizio ha provocato l'interruzione della distribuzione di carburanti in gran parte della costa est. Le analogie con Colonial Pipeline non si fermano qui: anche in quel caso vennero crittografati sia i file con i dati sensibili e contemporaneamente il backup che si trovava sulla stessa rete. E anche in quel caso si chiese alle istituzioni un riscatto, che portò al pagamento di una cifra superiore ai 4 milioni di euro.

Secondo alcune ricostruzioni, ma non c'è una conferma ufficiale, anche alla Regione Lazio è stata chiesta una cifra che si aggira fra i 4 e i 5 milioni di euro come riscatto. Cifre che vengono confermate anche da un recente report di IBM secondo il quale le violazioni dei dati costano alle aziende 4,24 milioni di dollari in media per ogni incidente, mentre per il settore sanitario si raggiungono i 9,23 milioni di dollari. I dati emergono dall'ultimo Cost of a Data Breach Report di IBM Security.

Inoltre, sia nel caso di Colonial Pipeline che della Regione Lazio gli attacchi sarebbero partiti dalla Russia, il che ha indotto il procuratore di Roma ad aggiungere l'aggravante della finalità terroristica. Provocando l'interruzione di servizi così tanto servizi, l'attacco, anche se di origine informatica, può provocare danni molto seri alle istituzioni, così come ai cittadini.

Il caso a questo punto diventa internazionale, e come conferma l'Ansa, anche Fbi ed Europol stanno collaborando con la polizia Postale italiana nelle indagini. Lo scopo è proprio quello di verificare eventuali similitudini con altri attacchi eseguiti in passato attraverso ransomware cryptolocker.

Un attacco ransomware su larga scala ha recentemente colpito anche l'Olanda, coinvolgendo diverse compagnie. Secondo dati provenienti dalla Commissione europea, gli attacchi informatici su larga in Europa sono passati da 432 nel 2019 a 756 nel 2020, registrando un aumento del 75% rispetto al 2019.

60 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Cfranco04 Agosto 2021, 17:17 #1
non sarebbe stata dotata di autenticazione a due fattori


Ma come caxxo si fa ?


gli attacchi sarebbero partiti dalla Russia


E chi se lo sarebbe mai immaginato ?
Nui_Mg04 Agosto 2021, 17:19 #2
Originariamente inviato da: Cfranco
E chi se lo sarebbe mai immaginato ?

Ma falla finita: ormai pure se piove è colpa dei russi. Patetici. Tutte cazzate per nascondere la solita e celeberrima propria incompetenza.
Kyo7204 Agosto 2021, 17:24 #3
Sicuramente oltre a non usare la doppia autenticazione ci sara' come password della Vpn la mitica "pippo" oppure "12345"
Cfranco04 Agosto 2021, 17:31 #4
Originariamente inviato da: Nui_Mg
Ma falla finita: ormai pure se piove è colpa dei russi. Patetici. Tutte cazzate per nascondere la solita e celeberrima propria incompetenza.

Difendi qualche amichetto ?
Stranamente le gang cybercriminali attaccano tutti i paesi tranne la Russia

до свида́ния товарищ
AdolfoG04 Agosto 2021, 17:36 #5
Il fatto non è direttamente riconducibile ad Engineering. Qui un estratto del loro comunicato:

"In merito ad alcune ipotesi circolate su una possibile correlazione tra questo tentativo di attacco respinto e l’attacco hacker subìto dalla Regione Lazio tra la notte del 31 luglio e l’1 agosto, si chiarisce che le analisi e gli approfondimenti prontamente effettuati escludono una correlazione (la Regione ha confermato che l’attacco è partito dalla violazione di un’utenza di un dipendente in Smart working).

Inoltre si evidenzia che il Gruppo Engineering non gestisce le infrastrutture della Regione oggetto del cyber-attacco, le cui dinamiche devono ancora essere del tutto chiarite delle autorità competenti."

Si trova qui: https://www.eng.it/whats-on/newsroo...i-cybersecurity
giovanni6904 Agosto 2021, 17:42 #6
Quella è la risposta in legalese che serve a distanziare la società ENG dall'accaduto. Giustamente, è tutto in itinere e dunque verranno acclarate le responsabilità.

"Provocando l'interruzione di servizi così tanto servizi"

"Ah ma c'è il backup" si dirà, giusto? Peccato che l'articolo non chiarisca l'apparente anomalia per cui sarebbe stato lasciato pure online.
tallines04 Agosto 2021, 17:54 #7
Ecco !! Lavora tu in smart working....... >

L'attacco nato da un'utenza di un dipendente in smartworking

Dicono che c' entri.......la Germania, poi........>

https://www.lastampa.it/cronaca/2021/08/02/news/attacco-hacker-in-corso-alla-regione-lazio-blitz-partito-dall-estero-bloccate-tutte-le-attivita-1.40561127"]Attacco hacker alla Regione Lazio: “E’ terrorismo”.

Sequestrati i dati del Ced, salvi i fascicoli sanitari

Bloccate tutte le attività.

Polizia postale al lavoro per individuare i responsabili del malware: attacco partito dall’Est attraverso la Germania[/URL]
palmy04 Agosto 2021, 18:00 #8
Originariamente inviato da: Kyo72
Sicuramente oltre a non usare la doppia autenticazione ci sara' come password della Vpn la mitica "pippo" oppure "12345"


Sì esatto, due fattori è solo un in più...il vero bug sta sempre fra la sedia e la tastiera: avrà usato il PC del lavoro connesso alla VPN per guardare porno amatoriali russi su qualche sito sicuro
tallines04 Agosto 2021, 18:04 #9
Originariamente inviato da: palmy
Sì esatto, due fattori è solo un in più...il vero bug sta sempre fra la sedia e la tastiera: avrà usato il PC del lavoro connesso alla VPN per guardare porno amatoriali russi su qualche sito sicuro

Facile, complimenti.......
[K]iT[o]04 Agosto 2021, 18:11 #10
Originariamente inviato da: palmy
Sì esatto, due fattori è solo un in più...il vero bug sta sempre fra la sedia e la tastiera: avrà usato il PC del lavoro connesso alla VPN per guardare porno amatoriali russi su qualche sito sicuro


Boh non mi sembrerebbe comunque un motivo sufficiente per bloccare così tanta roba con il solo accesso in rete di un dipendente qualsiasi.
Tutto ciò che non è strettamente necessario deve non essere accessibile, figuriamoci poi se parliamo dei backups.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^