«È una nuova prova della vulnerabilità del nostro Paese sul fronte informatico. La magra consolazione è che l'Italia da questo punto di vista è in numerosa compagnia. A difendersi efficacemente da questo tipo di attacchi sono solo Israele e pochi altri Paesi». A parlare è Marco Carrai, fondatore di Cys4, uomo di fiducia di Matteo Renzi sulla cybersicurezza. Carrai, appena uscito incolume dall'inchiesta della procura di Firenze sulla fondazione Open, nelle scorse ore ha studiato nei dettagli l'attacco compiuto da pirati informatici contro i sistemi della Regione Lazio. E le conclusioni che ne trae non sono affatto tranquillizzanti.
Tecnicamente cosa è accaduto?
«Vede, in questo momento i domini laziocrea.it e regione.lazio.it, risultano presenti all'interno di un database che si chiama malspam-emotet. Questo database contiene informazioni riguardanti possibili utenze compromesse, utilizzate per veicolare in forma ricorsiva allegati malevoli ai propri contatti. Se un'utenza è presente all'interno di questo database, ne consegue inevitabilmente che è compromessa, e insieme all'utenza sono compromessi tutti i dati sensibili presenti nel pc».
Qual è il cavallo di Troia utilizzato per bucare la Regione Lazio?
«I sistemi compromessi contengono un malware Emotet veicolato nella maggior parte dei casi tramite campagne di spear-phishing con l'obiettivo di esfiltrare dati ed informazioni sensibili».
Chi c'è dietro i pirati?
«È noto come l'accesso a questo malware possa poi essere ceduto a gruppi criminali organizzati che lo sfruttano per ottenere un accesso maggiore alle risorse iniziali. Dal nostro punto di vista queste informazioni sono state fin da subito sufficienti per identificare come la principale causa dell'attuale problema alla Regione sia un ransomware, cryptolocker, che ha avuto vita facile all'interno della rete. Non possiamo escludere che si sia trattato di un supply chain attack ma le informazioni riguardanti Emotet sono chiare, almeno un gruppo criminale era in possesso di credenziali valide per accedere alla posta dei dipendenti e potenzialmente alla loro postazione personale».
C'erano già stati segnali d'allarme?
«Sì, la sicurezza della Regione Lazio era già stata messa in discussione a marzo 2020, quando un ricercatore italiano mise a nudo gravi vulnerabilità presenti nel backend dell'app LAZIOdrCOVID. Quale sia il movente reale di questi attacchi è presto per dirlo. L'unica cosa che possiamo escludere è che dietro questo attacco ci siano gruppi ideologicamente caratterizzati come Anonymous o spezzoni della galassia No Vax».
Si parla con insistenza della richiesta di un riscatto. Quanto è diffuso il fenomeno dell'hackeraggio a scopo di estorsione, e quanto sono disposte in genere le aziende a pagare?
«È una realtà in crescita continua, e il problema è che molte aziende preferiscono scendere a patti con i cybercriminali piuttosto che ammettere le proprie vulnerabilità. Aggiungerei che nel caso di un'estorsione la vittima ha almeno il vantaggio di apprendere di essere stata colpita. Ci sono invece casi in cui uno non si accorge neppure di essere stato derubato di dati. Se io le rubo il cellulare, lei se ne accorge dopo 30 secondi, abituato a tenerlo sempre in mano. Se le rubo i dati dentro può non accorgersene per tutta la vita».
Come se ne esce?
«Per difendersi dobbiamo fare come nella vita reale. Se voglio impedire a un ladro di entrare in casa alzo il costo di penetrazione mettendo porte e finestre blindate, allarmi, guardie giurate. Questo va fatto anche nel perimetro cyber.
Creare red team che fanno la guardia al perimetro tentando di attaccare e verificando le vurnerabilità che processate in artificial intelligence predicono eventuali attacchi. È necessario iniziare ad investire per la messa in sicurezza dalla tecnologia ai servizi di qualità».
- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.
