Regione Lazio, tutti i punti aperti dopo il backup ritrovato - Cyber Security 360

l'analisi

Regione Lazio, tutti i punti aperti dopo il backup ritrovato

Recuperati i dati grazie a backup non criptato ma cancellato. Un’ipotesi plausibile, secondo gli esperti, anche se di solito non si è così fortunati. Restano aperti alcuni punti, dalle responsabilità privacy alle cause dell’attacco

06 Ago 2021

Regione Lazio ad agosto ripristinerà tutto: ha ritrovato i dati, con salvataggio al 30 luglio.

Ha scoperto – a quanto comunica – che il backup era solo cancellato, non criptato (a differenza di quanto aveva comunicato in precedenza, tramite l’assessore alla Sanità). E quindi, dice, non ha dovuto pagare il riscatto.

Ed è già riuscita a rimettere su la piattaforma vaccini, poiché i dati sanitari – come annunciato in precedenza – non sono mai stati toccati dal ransomware.

Possibile? Sì, certo, anche se è certo un caso fortunato, a detta degli esperti (ci dicono Paolo Dal Checco e Alberto Pelliccione).

Come evitare altre minacce ransomware al Paese: le misure per aziende e PA

Restano comunque punti aperti: come sono entrati in Regione Lazio tramite il computer del dipendente di Frosinone; se c’è stata esfiltrazione di dati; se saranno sanzionate comunque le responsabilità.

Il fortunato backup di Regione Lazio

Ci sono casi, secondo gli esperti succitati, in cui i criminali non riescono a criptare il backup e quindi si limitano a cancellarlo. In questo caso – scrive Corrado Giustozzi, a nome della regione – è stato fatto da loro un wipe e una doppia reinstallazione del sistema. Ma è stato comunque possibile trovare i dati a basso livello, fisico. 

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Caso fortuito, possibile ma infrequente, secondo gli esperti.

“Comunque di solito i dati ripristinati a basso livello non sono integrali; qualcosa si perde”, dice Pelliccione.

Regione comunica che l’analisi è in corso ma sembra che tutti i dati siano stati recuperati totalmente.

Bisognerà vedere quanti e quali problemi ci saranno in seguito. In ogni caso, il back up era su virtual tape library (che simula storage su nastro magnetico), un sistema acquistato da Regione nel 2019.

Ma non c’era un backup offline/offsite

Resta che le misure minime per la sicurezza della PA prescrivono backup non online. Lo stesso Giustozzi l’ha ricordato di recente, su Facebook; bisogna “assicurarsi che i supporti contenenti almeno una delle copie [dei backup] non siano permanentemente accessibili dal sistema onde evitare che attacchi su questo possano coinvolgere anche tutte le sue copie di sicurezza”.

I responsabili della sicurezza di Regione avrebbe trovato un backup su nastro, separato dalla rete; ma era vuoto, a quanto risulta a questo giornale.

E non c’era architettura zero trust su accessi

Lacunose anche le misure di sicurezza dato che non hanno impedito di scalare da account del dipendente a quello di admin, tutti senza 2FA. Il monitoraggio di comportamenti anomali ha pure fallito, è stato mancante.

Confidiamo che ora la Regione cambi logiche e pratiche di security.

Regione Lazio, vaccini bloccati: poco pronta contro il ransomware, ecco perché

Dati esfiltrati e privacy

Altro punto: sono stati esfiltrati (rubati) i dati? Come notano vari esperti (Pelliccione, Dal Checco, Federico Fuga) di solito quella gang che ha attaccato Regione, Ransomexx, ruba anche i dati per venderli o ricattare ulteriormente la vittima.

Ma può non esserci riuscita o non averlo voluto fare per non destare sospetti con un grande transfer di dati (notano dal Checco e Pelliccione). Al minimo, potrebbero non aver preso dati importanti (il data base principale). 

Lo scopriremo solo nei prossimi giorni, se i dati escono su dark web. Anche bisogna seguire l’istruttoria aperta dal Garante Privacy sul data breach.

Come sono entrati in Regione Lazio

Confermato che sono entrati installando il ransomware tramite un computer di un dipendente regionale 61enne di Frosinone. Non si sa però ancora come siano entrati in quel computer.

I modi possono essere molti, in base a esperienza di settore, ci dice Dal Checco

  • Phishing del dipendente, spinto a dare sue credenziali VPN
  • Phishing del dipendente, spinto a cliccare su un malware che poi ha rubato credenziali VPN o le credenziali mail; tramite accesso mail possono aver trovato nella posta le credenziali
  • Credenziali mail trovate in un vecchio leak (anche per riuso password)
  • Vulnerabilità di qualche software installato (anche della stessa VPN)
  • Vulnerabilità della rete 
  • Accesso abusivo a sistemi esterni, anche di altre aziende, che contengono le credenziali VPN

Aspettiamo l’esito delle indagini.

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5