La pubblica amministrazione è oggetto di un vasto attacco hacker. L’attacco dura da qualche giorno (sarebbe stato scoperto l’8 dicembre) ma solo negli ultimi giorni sono cominciati a emergere dettagli. Diverse fonti confermano alla nostra testata che l’attacco è stato messo a segno da un gruppo già noto in Italia. Si tratta di Lockbit, già autore di attacchi alla Regione Lazio nel 2021 e nel 2022 all’Agenzia delle entrate. Lockbit è un gruppo di criminali informatici che ha sviluppato diverse versioni del virus ransomware che porta il loro nome. Si tratta di un gruppo russofono, almeno stando alle rivendicazioni che pubblicano online.
Quello che ha colpito Westpole, azienda che fornisce servizi cloud alla pubblica amministrazione, spiegano le stesse fonti, sarebbe la terza versione del ransomware: Lockbit 3.0. Il tipo di attacco è di quelli che prevede la richiesta di riscatto, in criptovalute. Da quanto è emerso finora, l’attacco sarebbe piuttosto ampio. E sta tenendo all’opera i tecnici dell’Agenzia per la cybersicurezza nazionale (Acn).
Da quanto emerge da fonti vicine alle indagini, al momento si stanno ancora calcolando i danni del virus. Quello che è si sa è che Westpole è riuscita a ripristinare il 50% dei propri sistemi. Ma è il restante 50% che preoccupa. L’Acn parla di ripristino lento. Difficile. Non si sa quando potrà essere ripristinato il resto. E sullo sfondo un rischio: quello che le pubbliche amministrazioni colpite non possano erogare alcuni servizi e obblighi nei confronti dei propri dipendenti. Compreso il pagamento dello stipendio di dicembre, che potrebbe slittare al prossimo mese.
Chi c’è dietro il gruppo Lockbit
Lockbit non è nuovo a questo genere di attacco. E tra i gruppi di criminali informatici più longevi del mondo della cybersicurezza. È attivo dal 2019 e il suo nome, che è quello del malware da loro creato, è già noto in Italia. Il suo virus è tra quelli che lo scorso agosto ha violato i sistemi informatici della Regione Lazio e poco dopo anche quelli di Thalesgroup e Accenture, solo per fare alcuni dei nomi più noti.
Altro attacco noto, quello contro l’Agenzia delle entrate del 2022, quando annunciarono di aver rubato all’ente circa 100 giga byte di dati. Probabilmente è un gruppo di hacker russi, o comunque dell’Europa dell’est. L’unico indizio è che ogni nuova versione pubblicata del software viene diffusa con un testo in cirillico.
Come funziona il loro software
Il software che hanno creato è un ransomware. Un programma malevolo usato dalle gang del crimine informatico per rubare dati e chiedere un riscatto in cambio. Lockbit, e chi lo ha creato, lavora come un ransomware in affitto (ransomware as a service, ndr): in pratica, un gruppo ristretto di sviluppatori, molto ben preparati, scrive e raffina il codice di cifratura dei dati e lo cede a criminali che conducono l’attacco vero e proprio in cambio di una percentuale sui profitti.
Quindi è probabile che dietro il presunto attacco all’Agenzia delle entrate ci possa essere un altro gruppo criminale, che si è appoggiato a Lockbit. La nuova versione di Lockbit prevede, dicono gli esperti, la necessità di pagare il riscatto in criptovalute. Zcash sarebbe quella scelta dai criminali.
Fonte : Repubblica
