L’attacco hacker alla Regione Lazio

L’attacco hacker alla Regione Lazio è stato portato a segno utilizzando un ransomware. Un attacco che mira a bloccare i sistemi informatici, cifrandoli e rendendolo inutilizzabili fino al pagamento di un riscatto (il ransom, in inglese).

Così, mentre proseguono le investigazioni, gli esperti hanno già dato il loro vaticinio. Ma, a parte le notizie trapelate dalla Regione Lazio e non confermate, non si conosce l’entità del riscatto che sarebbe stato richiesto.

L’attacco informatico contro la regione Lazio è stato apparentemente scatenato da un utilizzatore di LockBit 2.0, ossia una sorta di virus informatico dato in appalto da una società madre (Il gruppo di criminali informatici Blackmatter, ex Darkside) in cambio di una quota dei riscatti ottenuti da chi lo utilizza “affiliandosi”.

Secondo le prime ricostruzioni degli esperti, la Regione non sarebbe quindi stata colpita direttamente e non sarebbe l’unica vittima poiché “l’intrusione” avrebbe riguardato un importante MSSP italiano, ossia un fornitore di servizi a cui si appoggia la regione ma non solo.

Lockbit, la gang criminale che ha creato il ransomware che ne porta il nome, sul proprio sito nel Darkweb offre un articolato sistema di affiliazione, per consentire ad altri criminali informatici di usare il loro software e guadagnarci.

Pertanto il rischio immediato è che, sull’onda del successo di questo attacco ransomware, altri soggetti vorranno “affittare” il software malevolo, aprendo così uno scenario completamente nuovo e ancora più pericoloso. I gruppi ransomware si creano e si disfano a piacere, comportandosi come aziende legittime con tanto di customer care per gestire le richieste delle vittime sui pagamenti e i tempi della decifrazione dei sistemi bloccati.

Somigliano a delle startup che si fanno finanziare, crescono, creano nuovi prodotti, e poi vendono rami d’azienda, ne creano di nuove in seguito alle “cessioni societarie” o ne avviano altre come “forks” cioè sviluppando in proprio l’evoluzione ulteriore del software originario, malevolo in questo caso.

La statunitense Colonial Pipeline, colpita da un ransomware (virus informatico che “sequestra” i dati criptandoli e li “libera” solo dietro pagamento di un riscatto, generalmente in bitcoin, ndr) dopo ripetuti tentativi falliti per ripristinare la funzionalità delle sue infrastrutture ha scelto di pagare. In entrambi i casi parliamo di grandi società che non mancano di risorse finanziarie e/o tecniche.

Il LockBit Ransomware è emerso nel panorama dei malware nel settembre 2019, quando è stato offerto in uno schema RaaS (Ransomware-as-a-Service). Gli operatori della minaccia stavano cercando affiliati che eseguissero gli attacchi ransomware effettivi e poi dividessero i profitti: gli affiliati avrebbero incassato circa il 70-80% dei fondi mentre il resto sarebbe stato dato ai creatori di LockBit.