Lazio Crea: chì hè accadutu? Un riscattu hè statu pagatu?
Cyber attaccu in Lazio Crea, l'impresa di a Regione Lazio: fatti, ricostruzzioni è analisi
"L'attaccu à Lazio Crea puderia esse u risultatu d'un attaccu assai più grande . Da questu attaccu i piratoghji anu pussutu entre in a rete Lazio Crea ». Hè dettu da Alberto Pelliccione , CEO di ReaQta, una sucetà IT è intelligenza per a difesa attiva. In a video fatta da Matteo Flora , Prufessore Contractu in Reputazione Corporativa à l'Università di Pavia, Fondatore di u Fool , una sucietà di reputazione digitale, u CEO di Reacta analizza l' attaccu perpetratu contr'à Lazio Crea è di a Regione Lazio.
LazioCrea è gestione di dati affidati à l'Ingenieria
L'attaccu hà toccu LazioCrea perchè hè a sucietà di a regione chì s'occupa di a gestione di i servizii IT, è chì deve piglià cura per tene sicura sta infurmazione. Per realizà stu travagliu LazioCrea, cum'è ripurtatu da Domani , si basa nantu à una sucietà esterna per a gestione di i servitori, Engineering Spa , chì hè stata a prima à esse stata violata da i pirati. Un attaccu à terze parti chì hà fattu collassà u sistema di a regione.
A versione di Ingegneria
"Ingegneria – leghje una nota da a cumpagnia dui ghjorni fà – annuncia chì dopu à e prime infurmazioni emesse prontamente dopu à a registrazione di l'evenimentu in l'ultima settimana di lugliu, i cuntrolli approfonditi anu iniziatu immediatamente, a notte di u 5 d'Agostu, permessi per rilevà un pussibule compromessu di credenziali d'accessu à alcune VPN di i clienti, immediatamente notificati individualmente. Ancu se credemu chì ùn curreranu micca altri rischi, sò stati invitati à fà u cambiamentu di password di i conti supportati da e nostre squadre segnalendu ogni suspettu d'usu inappropriatu di e nostre credenziali, è trasmettemu a stessa invitazione à queste ore à tutti i clienti. Finu à oghje, ùn ci hè evidenza di più attività chè quelle digià cunnisciute, ma cum'è per via di eventi cumplessi, l'investigazioni nantu à ciò chì hè accadutu continueranu più luntanu cù u sustegnu di Kaspersky, capimachja mundiale in Cibersigurtà ".
A cibersigurtà di i dati di u Lazio à Leonardo
A cibersigurtà di l'infurmazioni di i citadini di u Laziu hè affidata à u gruppu Leonardo. «In u 2018, a regione di u Lazio hà aderitu à un accordu Consip, rinnuvatu cù l'anni, cù un ATI guidatu da u gruppu Leonardo . L'accordu hà per oggettu esclusivamente servizii di guvernanza in a cuncezzione di un Centru di Operazione di Sicurezza per definisce prucessi è prucedure è offre ancu un sustegnu in u cuntestu di ciò chì tocca à a legislazione nantu à a prutezzione di i dati persunali ", hà scrittu a regione in una Nota.
Clarificazione di Leonardo
Riguardu à l'accordu cù a Regione Lazio, Leonardo, dumandatu à propositu, hà precisatu ch'ellu ùn avia mai avutu a gestione operativa di i servizii di surviglianza è di prutezzione cibernetica di u Lazio Crea ma chì avia furnitu solu servizii di guvernanza per a cuncezzione di una Sicurezza. operation ventre (Soc) è specificamente per definisce prucessi è prucedure è supportu riguardu à a legislazione nantu à a prutezzione di i dati persunali. Leonardo spiega ancu chì, à a dumanda di Lazio Crea, hè statu implicatu, per mezu di a squadra di gestione di Cyber Crisis, in operazioni di recuperu post-cyber attack.
Hacker dentru per almenu dui mesi
Sicondu i dui esperti di sicurezza informatica, i piratoghji invasori eranu stati in l'infrastruttura IT Lazio Crea da almenu dui mesi . "U tempu ch'elli si trovanu in l'infrastruttura serve per capisce cumu funziona l'infrastruttura è induve hè u più vulnerabile – dice Alberto Pelliccione – Ci sò operazioni in cui l'attaccante hè assai veloce è stà in 4-5 ghjorni., Qualchì volta stà ancu in per un annu. Stanu dentru perchè anu bisognu di fà una cartografia di l'infrastruttura è dunque per capisce quantu hè grande, induve sò i servitori chì cuntenenu i dati , induve sò i servitori di backup, cumu si facenu i backup, cumu accede à sti backup perchè hè di primura per ch'elli i mettenu fora di ligna o distrughinu i backup prima di cumprumette l'infrastruttura ". Dunque, quandu i pirate lancianu i so attacchi anu una idea assai bona di u funziunamentu di l'infrastruttura. "Dopu quandu l'iniziu di l'attaccu automatizanu stu prucessu per chì culpiscenu u più numeru di vitture pussibule à a velocità più rapida pussibule", aghjusta.
Predatori: piratudisti chì arrubanu è vendenu credenziali di cunnessione à i servitori
L'attacchi cibernetichi muderni sò u risultatu di una "linea di assemblea" cumposta da sfarenti tippi di piratarii. "Ci sò i cusì detti" predatori "chì trovanu u primu accessu à l'infrastruttura è poi a vendenu, micca necessariamente solu – dice Alberto Pelliccione -. Quelli chì u compranu ponu avè diverse identità, ponu esse gruppi chì facenu spionaggio è altri chì facenu ransomware. Ùn ci hè micca sempre un solu piratariu chì faci tuttu ». In u casu di l'attaccu à a Regione di u Laziu, "forse ci hè statu un accessu iniziale, vendutu à un gruppu di ransomware chì a so volta eranu affiliati à un gruppu di ransomware chì anu agganciati à l'attacu".
Nisuna cunsequenza da l'attacu annantu à a Regione Lazio
À u mumentu ùn ci sò state cunsequenze per l'attacu chì hà toccu a Regione Lazio dapoi u 1 d'Agostu. L' ultimatum hè scadutu à mezzanotte u 7 d'Agostu, ma a pagina di rivendicazione chì averia scatenatu u contu à u ritornu ùn hè più accessibile. A Pulizza Postale cuntinueghja i so cuntrolli perchè u risicu hè ligatu à a pussibilità chì certi dati arrubati da i pirati cibernetichi pudessinu finisce nantu à u web scuru.
E riassicurazioni di l'espertu nantu à u non pagamentu di u riscattu
Cunfermu cun piacè chì a Regione Lazio hà recuperatu i dati senza un pagamentu di riscattu. Micca scifrendu i dati ma recuperendu backup chì ùn eranu micca crittografati ma solu cancellati. Ma travagliendu à un livellu bassu, i tecnichi di LazioCrea anu recuperatu tuttu.
– Corrado Giustozzi
(@cgiustozzi) 5 d'Agostu, 2021
Dubbi nantu à u pagamentu di u riscattu
I dubbi nantu à u pagamentu di un riscattu restanu. "U meccanisimu hè abbastanza cunsulidatu: l'attaccu hè fattu, a vittima hè datu uni pochi di ghjorni per a neguziazione, se a vittima hè una vittima cumplicata, ùn vole micca neguzià o hè difficiule à neguzià, à chì mumentu a publicità hè publicata nantu à u situ di u riscattu – aghjusta Alberto Pelliccione -. Ci hè spessu un meccanismu di spinta di i media chì si sviluppa nantu à Twitter o LinkedIn induve a ghjente sembra dumandà à a cumpagnia s'ella hè stata compromessa. Ci hè dunque un meccanisimu di pressione chì si face annantu à l'attore ". Se a neguziazione ùn cuntinueghja micca, "a vittima hè publicata senza i dati, un ultimatum hè datu è se a vittima continua à ùn pagà i dati hè liberatu. Dunque diceraghju chì sì i dati ùn sò micca publicati in generale, micca sempre, ma significa chì u riscattu hè statu pagatu ".
Solu una nota laterale: ste so dichjarazioni sò irriconciliabili.
È serà faciule per vede s'elli anu pagatu o micca u riscattu: sì i dati ùn esce micca, l'anu pagatu.
Puntatu.In ogni casu video chì vene, seguitate stu filu. pic.twitter.com/gwihPkGyut
– Matteo GP Flora (@lastknight) 6 d'Agostu, 2021
Cumu funziona u RansomEXX
L'attaccu ciberneticu nantu à a Regione Lazio hè statu perpetratu da u ransomware RansomEXX chì, cum'è pruf. Matteo Flora travaglia cusì: "S'elli anu cifratu qualcosa, pudete cumprà una chjave per decifrà o una chjave per decifrà è impedisce a publicazione di i dati. Sì i dati ùn sò micca publicati, sapemu chì cun bona certezza qualchissia hà decisu di pagà u riscattu ".
Questa hè una traduzzione automatica da a lingua italiana di un post publicatu in StartMag à l’URL https://www.startmag.it/innovazione/lazio-crea-che-cosa-e-successo-e-stato-pagato-un-riscatto/ u Mon, 09 Aug 2021 05:02:00 +0000.