L’attacco ransomware contro Westpole ha dimostrato che nemmeno il cloud certificato dalla PA, con i suoi dati all’interno del settore pubblico, sia immune dalla furia ransomware che imperversa in modo crescente in giro per il mondo.
Per capire cosa è successo c’è bisogno di fare il punto su alcuni aspetti tecnici da non sottovalutare.
Prima l’attacco e poi il ransowmare
In primo luogo bisogna chiarire che il ransomware è il terminale di un attacco che è stato pianificato per diversi giorni, dato temporale che si è ristretto nel tempo, dove la persistenza all’interno dell’infrastruttura di rete da parte dei criminali serve a comprenderne la composizione per avere un quadro chiaro di come e quanti dati è possibile colpire.
Quelli che insinuano i criminali all’interno delle reti si chiamano vettori d’attacco e solitamente sono:
- Possesso dei dati d’accesso
- Vulnerabilità software o hardware
- Ingegneria sociale attraverso metodi come phishing e vishing
Una volta entrati nella rete ed avendola studiata a dovere, il gruppo criminale decide quale attacco sferrare ed i cybercriminali motivati finanziariamente scelgono solitamente il ransomware perché cripta i dati e consente di fissare una somma da corrispondere per pagare il riscatto e riottenere quanto messo in discussione. Prima di criptare, da molto tempo oramai è prassi consolidata esfiltrare i dati e pubblicarne alcuni esempi sulle proprie pagine web per esercitare pressione su chi deve pagare per non trovarsi i dati compromessi.
Perchè LockBit non ha annunciato il pagamento del riscatto e nemmeno l’attacco?
Il caso Westpole è stato da subito comunicato come un attacco ransomware e successivamente è stato individuato Lockbit, il gruppo più temuto in assoluto, come responsabile.
Parole dell’Agenzia per la Cybersicurezza Italiana, a cui bisogna credere per forza, ma giusto spiegare al lettore che solitamente si apprende di un attacco ransomware realizzato da LockBit tramite le pagine del sito Internet della gang e mai dai canali ufficiali delle vittime.
E’ buona prassi di LockBit annunciare i suoi attacchi e quindi l’anomalia è l’assenza di una rivendicazione che fino ad oggi manca la comunicazione dell’attacco ransomware da parte della prima ransomware gang al mondo con pregressi italiani nella pubblica amministrazione.
Anche per la vicenda dell’ASL Lazio, l’intervento di qualche ala dell’intelligence del nostro paese, fece in modo che si evitò la pubblicazione con il dubbio nell’ambiente che qualche contatto ci fosse stato tra le parti e non proprio secondo una logica del “riscatto non si paga“.
Un provider non ha una telemetria che funziona a dovere?
Un’altra anomalia di tipo tecnico è il fatto che una grande “catena” come Westpole non si sia accorta che un ransomware stava criptando un volume di dati notevole se consideriamo gli effetti che ha avuto il blocco. Se presente, un sistema di telemetria capace di notare eventuali picchi anomali in tempo reale nella struttura informatica del Provider, non avrebbe facilitato agli attaccanti di agire indisturbati. Sarebbe interessante comprendere se le telemetrie cyber hanno segnalato la presenza dell’attore malevolo e la capacità di reattività del relativo SOC.
Perchè non si tratta di una PMI, ma di un provider di servizi che fornisce spazio, cloud, connettività ad un nutrito numero di aziende e di Enti, facendo parte di fatto del perimetro cibernetico della nazione. Senza nulla togliere alle Piccole Medie Imprese del paese, l’80% del PIL italico, ad essere state danneggiate dall’attacco sono state anche aziende del calibro di Buffetti.
La scelta di un provider da parte dei criminali non è casuale e la dimostrazione sta nel fatto che, colpendo Westpole, LockBit ha creato disagi sia al servizio pubblico sia a quello privato. Questo fa intendere che in realtà, i dati degli utenti non sono rilevanti, almeno non più come prima.
La nuova frontiera del dato ed il segreto di Pulcinella
Il discorso del dato personale che gira è diventato oramai obsoleto, ma questo sembra non interessare le gli addetti ai lavori che con clamore citano notizie di GB e TB di dati sottratti di dipendenti e buste paga. Secondo una logica matematica, dopo l’hack di Facebook del 2016, i dati di 40 milioni di italiani sono esposti in rete e sono ancora presenti e facilmente consultabili. Giusto per fare una precisazione di efficienza pubblica, il Garante Privacy non ha multato la società, promettendo piena collaborazione con Meta mentre i telefoni di tutta la nazione erano raggiunti da campagne Whatsapp malevole di phishing e truffe e lo sono ancora oggi. All’hack di Facebook, si è aggiunto quello di Vodafone e anche di qualche ASL dove dati ipersensibili come malattie mentali e immunodeficienti avevano un nome ed un cognome.
Andrea Lisi, presidente ANORC, intervistato da Matrice Digitale ha parlato non di tutela del dato, ma di circolazione dello stesso visto che è il segreto di Pulcinella oramai che i dati di tutti sono in rete e questi dati sono a disposizione anche di uno smanettone non necessariamente criminale.
Si aggiunge anche il fatto che cala il numero delle combo dati nel Dark Web di dati così come anche il prezzo di vendita degli hack e dei prodotti da carding, carte di credito e documenti d’identità, e la domanda che sorge spontanea è a questo punto un’altra: a cosa serve diffondere la notizia se alla fine il mercato è saturo?
Da cybercriminalità a cyberspionaggio: una guerra cibernetica silenziosa
Qual è il confine tra cybercriminalità e guerra cibernetica?
Solitamente è la motivazione finanziaria, ma quando i dati sottratti alle aziende o agli Enti vengono collocati nei mercati grigi, punti di incontro tra membri dell’illecito e agenzie governative, il dato degli utenti, dei dipendenti passa in secondo piano rispetto a quello dei brevetti e di eventuali fornitori che, se colpiti, possono bloccare catene di produzione di grandi marchi.
Nel caso di LockBit, è appurato che il gruppo criminale non appartiene a logiche APT governative, ma agisce come i mercenari in guerra che servono chi paga di più come da intervista di Massimiliano Brolli del luglio 2022.
Il problema di questo tipo riguarda non solo i big tecnologici, ma soprattutto paesi come l’Italia che producono macchinari pressoché unici per i grandi colossi internazionali ed esporta prodotti di eccellenza per il settore del lusso che in molti ci invidiano. In questa osservazione, chi ha mostrato lungimiranza è stato Pieguido Iezzi CEO di Swanscan che ha urlato al ransomware come attacco al Made In Italy.
Gli attacchi alla supply chain sono tra i più temuti al mondo e grandi aziende tecnologiche sono state già compromesse attraverso i loro stessi fornitori di componenti e assemblatori ed Apple ne sa qualcosa.
Westpole è superato?
Nonostante una propaganda cyber concentrata a rivendicare un ruolo mai conquistato sul campo se non attraverso le amicizie sulla stampa incontrate in modo corporativo all’inizio dell’insediamento di Baldoni e che ne diffondono costantemente gesta epiche, a cui credono nemmeno i dipendenti, se l’ACN ha davvero raccontato tutta la verità in questi giorni, già smentita da qualcuno su LinkedIn perchè il problema non sembra essere stato completamente risolto ed i tempi si prospettano più lunghi, sarà buona prassi spiegare al settore IT come un cloud nazionale certificato, sia riuscito a scoprire in tempo il ransomware LockBit, visto che poteva andare peggio, ad essere sicura che il dato non sia stato esfiltrato e ad evitare che si arrivasse alla pubblicazione della richiesta di riscatto.
Da una best practice così inusitata, la proposta di Roberto Beneduci fatta a Matrice Digitale di creare delle linee guida da questa esperienza, insegnerebbe il mestiere a molti, anche agli improvvisati dell’ultima ora, riuscendo ad evitare fastidi come quello di Westpole in futuro a tutte le aziende certificate ACN e PA.
