In Italia, vari siti della Pubblica Amministrazione sono stati attaccati da criminali informatici russi, provocando preoccupazioni sulla sicurezza e sollevando la questione di possibili rischi per gli stipendi.
L'attacco ransomware ha colpito migliaia di server, incluso il fornitore di servizi cloud italiano Westpole, specializzato in servizi per la pubblica amministrazione.
I server VMware ESXi sono stati bersaglio dell'attacco, sfruttando una vulnerabilità del software. Il gruppo hacker russo Lockbit ha rivendicato l'attacco. Questo ha causato disservizi a milioni di utenti, inclusi problemi con gli sportelli bancomat.
I siti colpiti includono circa 1.300 entità della Pubblica Amministrazione italiana, come Comuni, Province, Unioni di Comuni, Comunità montane, l'Agenzia per l'Italia Digitale (Agid) e l'Autorità anticorruzione (Anac). L'attacco ha compromesso principalmente la gestione interna delle PA e dei dipendenti pubblici.
L'Agenzia per la Cybersicurezza Nazionale ha comunicato di essere in contatto con Westpole S.p.A. e PA Digitale S.p.A. per supportarli nel contenimento dei disservizi causati dall'attacco ransomware perpetrato dal gruppo di hacker russofono Lockbit 3.0. L'azione coordinata ha permesso di ripristinare tutti i servizi influenzati e di recuperare i dati per oltre 700 enti pubblici nazionali e locali legati alla catena di approvvigionamento di PA Digitale S.p.A.
L'Agenzia ha rassicurato che non ci sono problemi per il pagamento degli stipendi e delle tredicesime dei dipendenti della Pubblica Amministrazione.
L'attacco informatico ha avuto origine da Westpole, un fornitore di servizi cloud per PA Digitale, che fornisce a sua volta software e programmi a Comuni e altri enti pubblici. L'incidente è iniziato alle ore 5 dell'8 dicembre, bloccando i sistemi di numerose pubbliche amministrazioni. Il 18 dicembre, i tecnici di Westpole sono riusciti a ripristinare circa il 50% dei servizi colpiti.
L'attacco ransomware ha criptato i database, rendendoli inaccessibili, e il gruppo russo Lockbit ha rivendicato la responsabilità.
Lockbit è noto per aver colpito l'Italia in passato ed è descritto come un'azienda di cybercriminali.
La situazione sottolinea la necessità di rafforzare le misure di sicurezza informatica per proteggere le infrastrutture critiche e garantire la continuità dei servizi pubblici.
LE RICHIESTE DEI CYBERCRIMINALI
Dinanzi ai database criptati e inaccessibili, i cybercriminali avrebbero avanzato richieste di riscatto in criptovalute a Westpole, il provider che ospita vari servizi di PA Digitale, una società privata del gruppo Buffetti che fornisce servizi a 1.300 entità della pubblica amministrazione italiana. Tra i servizi ancora bloccati figurano i sistemi di rendicontazione delle buste paga e di fatturazione elettronica.
L'esperto di cybersicurezza Massimiliano Brolli aveva anticipato la possibilità di una richiesta di riscatto a Login, anche se fino a questo pomeriggio non era stata ufficialmente confermata.
Brolli aveva sottolineato che quando si verifica un attacco ransomware con cifratura dei dati, gli hacker potrebbero essere presenti nel sistema da almeno una settimana, e la cifratura rappresenta solo l'ultimo atto.
In tal contesto, Brolli aveva suggerito che i cybercriminali potrebbero essere impegnati in trattative per il riscatto o potrebbero non essere riusciti a raccogliere dati sensibili particolari.
LE DICHIARAZIONI DEGLI ENTI COINVOLTI
In una comunicazione inviata a Pa Digitale, Westpole Spa ha dichiarato alcuni giorni fa:
"Riteniamo poco probabile l'esfiltrazione dei dati da parte dell'attaccante, evidentemente interessato al blocco dell'infrastruttura, non al contenuto dei dati, di tipo indifferenziato, presenti sui nostri repository e all'interno delle circa 1.500 macchine virtuali."
Lockbit, il gruppo di hacker responsabile dell'attacco, si è distinto per le sue attività aggressive in passato, colpendo vari enti in Italia.
Secondo Matteo Macina della Cyber Security Italy Foundation, la finalità tipica di Lockbit è l'estorsione,
e ciò che suscita preoccupazione è l'assenza di esfiltrazione dei dati fino a quel momento.
Di solito, questo passo precede la minaccia di pubblicazione da parte degli hacker. Macina ha commentato :
" è possibile che l'infrastruttura attaccata abbia impedito l'esfiltrazione, forse grazie alle contromisure di sicurezza già in atto. Tuttavia, dal punto di vista esterno, non è possibile prevedere con certezza i tempi di risoluzione del problema, che potrebbe essere risolto rapidamente o potrebbe richiedere diversi giorni" .
Nel caso in cui i dati non siano disponibili nei backup, ad esempio nel caso di registrazioni elettroniche non salvate, potrebbe essere necessario un processo manuale per ripristinare la situazione.
AZIONI CORRETTIVE
Le operazioni per risolvere il problema sono in corso, e PA Digitale ha fornito aggiornamenti sulla situazione fino al 13 dicembre. In quella data, la società ha attivato un piano d'emergenza in collaborazione con Westpole per ripristinare una nuova infrastruttura affidabile e sicura.
PA Digitale sta lavorando incessantemente, impiegando risorse illimitate per il recupero dei dati dai backup, assicurando una tempestiva ripresa dei servizi. La società si impegna a garantire la rapida ripresa delle funzioni essenziali e il recupero dei dati entro qualche giorno.
L'Agenzia per l'Italia Digitale (Agid), responsabile della supervisione dell'ambito digitale, è intervenuta richiedendo dettagli a PA Digitale entro due giorni. Agid ha focalizzato la richiesta chiedendo chiarimenti sul coinvolgimento dei servizi di conservazione , considerando la sensibilità dei dati gestiti.
Successivamente, la richiesta si è concentrata sui dettagli dei disservizi, esortando PA Digitale a fornire una panoramica completa delle aree colpite e delle funzionalità compromesse.
Il direttore dell'Agenzia per la Cybersicurezza, Bruno Frattasi, ha risposto alle domande sull'attacco, confermando l'ampio impatto che ha coinvolto le pubbliche amministrazioni che si affidano ai servizi di Westpole.
Frattasi ha spiegato che l'ACN è intervenuta per analizzare l'entità dell'impatto, indicare le modalità di recupero dei dati e aiutare Westpole nel ripristino dei servizi come parte delle pratiche di resilienza. Le funzioni dell'ACN includono la protezione della superficie e il ripristino dei servizi dopo un attacco.
CONCLUSIONI
si conclude questo 2023 con un episodio rappresentativo di quello che è stato l'anno , insieme al 2022 , disastroso dal punto di vista della cybersecurity nel nostro paese.
Non abbiamo parlato di molti altri attacchi secondari di questi ultimi 3 mesi , magari farò degli altri topic , ma l'orizzonte non è buono .
Vedo un ottimismo a volte fuori luogo anche se in molti articoli come alcuni che troverete nelle fonti i toni sono molto polemici , toni che non ho voluto utilizzare nel topic.
La realtà è che rispetto a tanti altri paesi siamo un bersaglio appetibile , la cybersecurity viene ancora trattata come un qualcosa di non fondamentale alla salute economica di questo paese tenendo presente che i danni dichiarati dagli articoli e dichiarazioni molte volte non rappresentano la stima reale..
Vorrei dei vostri pareri a riguardo , sarà la nuova norma questa condotta ? o sarà necessaria una svolta ?
fatemi sapere , e come sempre
FONTI
https://www.ansa.it/sito/notizie/cr...tto_649585ff-1f0d-4f3b-98e3-486f02531ad3.html
https://www.wired.it/article/westpo...ettronica-buffetti-dylog-agenzia-entrate-sdi/
https://www.lidentita.it/il-caso-westpole-lattacco-hacker-e-gli-strani-silenzi-della-gruviera-pa/
https://www.ilsole24ore.com/art/cos...ta-bloccando-servizi-pa-AF9Y173B?refresh_ce=1
https://www.key4biz.it/attacco-informatico-westpole/473256/
https://www.ilsole24ore.com/art/cos...-hacker-che-sta-bloccando-servizi-pa-AF9Y173B
