Lockbit 2.0 pubblica i dati dell’ULSS 6 di Padova. Ne parliamo con Gerardo Costabile, il nostro CEO

Un gruppo criminale, conosciuto come Lockbit 2.0, ha attaccato la Ulss 6 di Padova ed ha diffuso i dati sensibili esfiltrati. L’azienda sanitaria regionale ha dichiarato di non aver intenzione di pagare alcun riscatto. 

Sull'argomento abbiamo intervistato Gerardo Costabile, il nostro CEO.

“In questi giorni si è verificato l'ennesimo attacco nei confronti della Regione Veneto. Ci può spiegare meglio che cosa è successo?”

“La Regione Veneto è soltanto una dei target che sono stati attaccati da ransomware. In questo caso si tratta di Lockbit 2.0, un gruppo criminale che in passato aveva attaccato altre regioni ed enti, oltre che grandi aziende e multinazionali, che si muove in un modo abbastanza definito ed aggressivo. Studiano l'infrastruttura del target, per poi trovare un punto di ingresso che potrebbe essere ad esempio un dipendente che clicca su un link malevolo oppure una vulnerabilità specifica. Le tecniche sono varie e mirano ad entrare nella rete della vittima e fare i cosiddetti movimenti laterali, per scoprire altre vulnerabilità, dati, andando oltre al primo punto di ingresso, in modo da scoprire informazioni sempre più di valore ed operare generalmente con due tipologie di azioni. La prima delle due riguarda una esfiltrazione dei dati e la seconda è la cifratura per chiedere un successivo riscatto (minacciando la pubblicazione).”

“Come mai avvengono questi attacchi e quali sono le implicazioni per le aziende e per i privati in seguito ad un attacco ransomware?”

“Ordinariamente gli attacchi ransomware sono fatti da organizzazioni criminali che tentano di sfruttare queste debolezze per motivi economico-finanziari. Quindi alla fine si chiede un riscatto, generalmente in criptomoneta. Si tratta, come noto, di azioni malevole finalizzate a recuperare dei soldi. Non ci sono scopi reali di spionaggio, o non necessariamente, salvo eventuale doppia vendita, ovvero una per il riscatto al cliente ed una vendita parallela ad agenzie di intelligence interazionali. Si tratta di vere organizzazioni criminali che lo fanno per scopo di lucro. Le implicazioni possono essere diverse. Ad esempio, l'interruzione di servizi, non solo di business, ma anche di servizi pubblici se l'attaccato, come nel caso di cui parlavamo prima, è la Regione Veneto. Quindi servizi al pubblico o servizi pubblici. Questo può creare un impatto più grave, in ottica di servizi pubblici al cittadino. A questo si associano costi, disservizi e tutto quello che ne concerne per il ripristino di tutto il sistema. L'altro punto molto delicato è l'eventuale perdita di dati e la compromissione di questi ultimi. A volte, purtroppo, gli attaccanti cifrano anche i backup, di fatto causando problemi alla vittima in relazione al ripristino dei dati, che vengono quindi irrimediabilmente persi.”

“Quali sono secondo lei le azioni di prevenzione e di mitigazione che andrebbero messe in atto per contrastare questa tipologia di attacchi?”

“In ottica preventiva vanno fatte delle analisi, dei test, delle simulazioni, preferibilmente da terze parti, in maniera tale da avere un'indipendenza del risultato, che possano consentire alle organizzazioni di misurare questa tipologia di rischio. Molti attacchi vengono effettuati sfruttando 3 motivazioni principali, a volte connesse tra di loro. La prima riguarda l'obsolescenza dei sistemi informatici dell'azienda o della pubblica amministrazione. La seconda è relativa alla poca attenzione delle patch, quindi al non aggiornamento di software con vulnerabilità, o anche in questo caso obsoleti. La terza motivazione può essere legata all’elemento umano, quindi alla debolezza o incompetenza dell'utenza media, che porta ad un'infezione o comunque ad un cadere vittima di tentativi di phishing. Tali azioni portano alla compromissione del device del dipendente, per poi utilizzare, tramite quest’ultimo alcuni tool di sicurezza per muoversi indisturbati e cercare altro di utile, fino alla citata esfiltrazione e cifratura. Andando ad approfondire questi ambiti, ad esempio con attività di simulazione e di test, si possono verificare questi rischi prima di un eventuale attacco. È fondamentale ovviamente stabilire anche un’architettura di rete adeguata (anche in ottica di segregazione), strumenti tecnologici di protezione da questo tipo di minacce e anche un backup messo in un’architettura tale che non consenta la cifratura da parte di un attaccante, ma che sia in una modalità “protetta”. Laddove invece fossimo attaccati da parte di professionisti, sarà fondamentale affidarsi a mani esperte che possano velocemente gestire questo incidente e fare in modo che il ripristino sia veloce, il recupero di dati più completo possibile, ma l'aspetto primario sarà quello relativo alla comprensione della causa. Senza comprendere la causa di un attacco ransomware, il cosiddetto “malato zero”, non possiamo dire di aver risolto realmente il problema alla radice, ma ci sarà il rischio del ripetersi di attacchi similari, con metodologie analoghe.”