Attacco informatico alla Regione Campania. Come la minaccia è stata sventata e quali lezioni possiamo imparare

Chiara Nardini : 27 Settembre 2023 17:17

Nella giornata di oggi, è arrivata una email al whistleblower di Red Hot Cyber, proveniente da un funzionario della Giunta Regionale della Campania, Ufficio Speciale per la Crescita e la Transizione Digitale di Napoli che illustra un attacco informatico ai danni della Regione Campania.

In tale mail molto ben dettagliata, viene riportato con precisione cosa è accaduto, quali azioni sono state intraprese per poter rispondere alla minaccia e delle conclusioni che vogliamo condividere con tutti i nostri lettori.

Molto bene quindi nella comunicazione da parte della Regione Campania.

Molte altre aziende dovrebbero fare lo stesso, non solo negli attacchi informatici sventati, ma anche negli attacchi informatici portati a segno. Questo consentirebbe a tutte le aziende di avere un vantaggio strategico nella gestione dell’ICT Risk Management, in quanto conoscere le violazioni, consente di ottenere dei grossi vantaggi in ottica gestione del rischio.

D’altra parte la collaborazione e la condivisione è tutto nella sicurezza informatica.

La mail ricevuta da Red Hot Cyber

Nei giorni scorsi la Regione Campania ha subito un attacco informatico che ha interessato una singola postazione di lavoro e una postazione server.  

Lo scopo della presente comunicazione è fornire informazioni sull’evento, sulle cause scatenanti e sulle azioni intraprese per contrastare l’attacco prima di giungere alla comunicazione formale dello stesso. 

Senza voler entrare nei tecnicismi della procedura, l’attacco è stato eseguito mediante l’installazione di un software malevolo sulla postazione di lavoro e sul server, da sfruttare come porta di accesso all’infrastruttura regionale con il ragionevole scopo di procedere alla esfiltrazione di dati (copia di dati verso l’esterno dell’amministrazione), cifratura degli stessi e conseguente richiesta di riscatto.

Di fatto, l’ascesa della minaccia informatica poteva verosimilmente tradursi in un danno notevole per l’Ente, in termini di perdita di disponibilità, confidenzialità ed integrità di dati nonché di indisponibilità medio tempore dei sistemi (come già accaduto in altri casi simili presso altre amministrazioni di dimensioni e complessità analoghe).

L’EVENTO 

L’attacco è stato condotto materialmente da due cyber-gang molto note e particolarmente attive in questi mesi. Si tratta, nella fattispecie, di LockBit 3.0 Black e di BlackCat AlphV, due organizzazioni criminali molto potenti che operano con lo scopo di estorcere denaro, determinando, come già accaduto, danni ingenti in tanti Enti e Aziende pubbliche e private.

Questi criminali hanno creato, direttamente sulla postazione di lavoro, un software malevolo scritto ad hoc per effettuare le azioni criminose citate. Occorre precisare che, il tipo di software malevolo utilizzato, non essendo noto e diffuso prima dell’attacco a Regione Campania, non poteva essere individuato preventivamente dai sistemi di sicurezza.

Ciò nonostante, a seguito della segnalazione proveniente dai sistemi di monitoraggio che hanno comunque intercettato l’esecuzione di azioni non lecite, il tempestivo intervento (notturno) dei colleghi regionali del gruppo Sicurezza Informatica, ha consentito di isolare le postazioni di lavoro dalla rete in pochissimi minuti e circoscrivere immediatamente l’attacco, con misure di contenimento e protezione. Durante le fasi di analisi, immediatamente successive all’incidente, si è cercato di comprendere e valutare la natura e la portata dell’attacco. Questa fase di analisi, durata alcune ore, ha consentito di individuare una compromissione di una postazione server, opportunamente isolata e controllata.

Contemporaneamente, la postazione di lavoro è stata prelevata e portata presso il Data Center per le azioni di copia forense e la conseguente messa a disposizione dell’autorità inquirente. Nell’ambito del rafforzamento del perimetro di sicurezza nazionale cibernetica, l’evento, anche con il supporto di esperti esterni, è stato immediatamente comunicato all’Agenzia per la Cybersicurezza Nazionale, in particolare alla sezione CSIRT, al fine di ottemperare all’obbligo di notifica di incidente informatico ed attivare il relativo protocollo di gestione degli incidenti.

Pertanto, tutte le fasi di analisi ed approfondimento sono state svolte in costante collaborazione tra il gruppo di sicurezza regionale e CSIRT. Nella gestione di un incidente informatico, la riservatezza delle comunicazioni riveste un ruolo determinante per evitare di dare informazioni importanti agli attaccanti sulle azioni in corso che potrebbero compromettere la buona riuscita delle operazioni di ripristino. Pertanto, la complessità della circostanza, ha richiesto una particolare attenzione e contemperamento anche sotto il profilo della comunicazione agli utenti, garantendo, al contempo, le necessarie interlocuzioni con le autorità preposte. 

Precauzionalmente, la prima azione intrapresa è stata il blocco della rete regionale. La verifica della coerenza dei backup dei sistemi server di regione (alcune migliaia) ha evidenziato che né il contenuto degli stessi né le postazioni di lavoro (diverse migliaia) erano cifrati. Inoltre, si è provveduto alla condivisione degli indicatori di attacco, che in questo modo sono diventati pubblici, per consentire l’individuazione di attacchi simili anche presso altri sistemi sia dell’Ente che di altre strutture amministrative pubbliche e/o private. 

Purtroppo, la verifica puntuale di un numero così elevato di postazioni di lavoro e sistemi server ha richiesto molte ore di lavoro, svolte da colleghi che hanno operato 24 ore su 24 al fine di consentire una rapida e progressiva riapertura della rete, che, è bene ribadire, è stata chiusa esclusivamente a scopo precauzionale per consentire le dovute attività di analisi. 

LE CAUSE SCATENANTI 

Non è possibile stabilire, con assoluta certezza, quale sia stata la causa scatenante. Sulla base delle evidenze raccolte in fase di analisi, è ragionevole dedurre che gli attaccanti abbiano utilizzato un vettore di infezione proveniente da supporto removibile/remoto e successivamente abbiano utilizzato una vulnerabilità del sistema per accedere al sistema server.

La combinazione di queste due azioni, senza l’intervento di isolamento, avrebbe generato l’attacco conclusivo. Purtroppo, l’esecuzione di software malevolo sulla postazione di lavoro è stata generata quasi sicuramente da infezione proveniente da supporti removibili (chiavette USB) o da file allegati alle mail, o da file provenienti da link scaricabili da internet (Wetransfer, Dropbox, …) che sono stati aperti ed utilizzati, contravvenendo a qualsiasi regola sia tecnica che di buon senso.

Un esempio per chiarire il concetto: se non mi sono mai interessato di fatturazione, non ho mai ricevuto una fattura, non ho mai chiesto una fattura, perché aprire un allegato denominato fattura? Pervenuto, inoltre, sulla mail istituzionale? È un esempio, non è il caso in questione probabilmente, ma chiarisce una volta per tutte quanto sia indispensabile un comportamento molto più attento da parte di tutti, avendo la consapevolezza che l’utilizzo improprio di strumenti informatici può causare danni incalcolabili. La presenza di sistemi di sicurezza, anche molto sofisticati come quelli presenti nella nostra organizzazione, non esime da un comportamento accorto e responsabile. 

Come noto, in questo genere di attacchi, il punto debole su cui i criminali fanno leva è il fattore umano. A tal scopo, si ricorda che l’Ufficio Speciale e la Direzione Generale per le Risorse Umane, da oltre un anno, hanno avviato un percorso formativo (obbligatorio) per aumentare in tutti i colleghi la consapevolezza del rischio cyber. Sebbene questo genere di formazione sia non solo obbligatoria ma anche utile nella vita quotidiana, occorre purtroppo constatare che molti colleghi non partecipano con la dovuta frequenza all’attività formativa. Siamo tutti caldamente invitati a comprendere la portata ed il valore di tale offerta formativa e ad assicurare una costante e continua partecipazione, fondamentale per la resilienza dell’Ente. 

LE AZIONI INTRAPRESE 

Per rendere ancora più sicuro il nostro sistema regionale, anche in ossequio alle indicazioni presenti nelle linee guida nazionali, si è provveduto a rafforzare ulteriormente le politiche di sicurezza, inibendo l’utilizzo di supporti removibili e l’accesso a link di condivisione e collaborazione che non siano gli strumenti ufficiali utilizzati dall’Ente (OneDrive e SharePoint).

È utile sottolineare che, anche il tentativo di bypassare questi blocchi, è un reato informatico, così come provare ad accedere alle postazioni di lavoro utilizzando escamotage che consentano di utilizzare la postazione senza fare accesso con le credenziali di dominio.

Su questo fronte i sistemi sono già impostati per la massima allerta e ogni utilizzo improprio sarà segnalato alle autorità competenti. 

CONCLUSIONI 

Si coglie l’occasione per ringraziare i colleghi tutti per lo spirito di collaborazione e la comprensione dimostrata a seguito della temporanea indisponibilità del sistema.  

Anche per tacitare i più deleteri scetticismi, si ribadisce la piena disponibilità, integrità e completezza dei dati e dei documenti dell’Ente e che, in nessun caso, si è avuta evidenza di cifratura e/o esfiltrazione degli stessi. 

È importante sottolineare come i moderni attacchi di ingegneria sociale siano in grado di prendere di mira la componente umana di un’organizzazione e fa piacere pensare che l’attacco informatico, nelle sue varie declinazioni, abbia costituito, per tutte le strutture regionali, un indubbio stimolo nel percorso di crescita digitale. 

È auspicabile che tutta l’organizzazione esca rafforzata da questo evento poiché, in particolare nella pubblica amministrazione, non è frequente respingere attacchi del genere e uscirne a testa alta.