Ciao,
Purtroppo nelle varie discussioni del subreddit ho letto parecchie deduzioni errate sull’avvenimento che ha caratterizzato i sistemi informatici della Regione Lazio nei giorni scorsi. Mi piaceva l’idea di condividere con voi qualche punto di vista più ragionato e non improvvisato.
Premetto che non ho e non ho mai avuto niente a che fare con la regione Lazio e con realtà ad essa collegate.
Partirei rispondendo a chi minimizza l’attacco perchè trattasi in realtà di banale ransomware. Ragazzi, il ransomware non è l’attacco. Il ransomware è il target: cifrare i dati e chiedere i soldi è il target, o Action On Objective come lo chiama il framework Mitre. Ma prima di arrivare li, il problema è mettere la zampa nell’infrastruttura, fare privilege escalation e arrivare nei server nevralgici, e ciò non è affatto banale, o meglio non per forza. Puoi si farlo sfruttando vulnerabilità vecchie, ma puoi farlo anche con vulnerabilità non scoperte, o fresche fresche (vedi wannacry). Una volta che il threat actor ha la zampa nella postazione di lavoro, ne hai di strada da fare per arrivare sui server in produzione…
Chiaramente delle cose sono andate male nella gestione della sicurezza di quella infrastruttura, a partire dalla probabile vicinanza dei backup al sistema in produzione stesso, che ha causato la cifratura anche di essi (a quanto si dice). Però non pensiamo che una infezione di questo tipo sia per forza una roba evitabile: se una organizzazione criminale cyber ti vuole fare danno, te lo fa. Magari ci mette 12 mesi invece di 2, ma lo fa.
Il ransomware in sè non è per forza banale, dipende dal vettore e dalle modalità di lateral movement e di privilege escalation. Per un attacco mirato in cui si punta a guadagnare 5/10 milioni, oppure a causare disservizio mascherandolo con un riscatto, non fai del phishing sul “vinci un iphone” o sull’ “allunga il tuo pene di 10 cm”, ma lo fai con spear phishing, con email talmente mirate e talmente realistiche per la singola persona da far cascare anche i più attenti. Magari la mail la fai partire pure da un indirizzo mail fidato, come quello della figlia o del collega.
Se escludiamo l’ipotesi dello spear phishing, rimane valida anche la vulnerabilità della VPN, che sopratutto recentemente ha portato molto scompiglio nel panorama della sicurezza:
[Attackers Heavily Targeting VPN Vulnerabilities (darkreading.com)](https://www.darkreading.com/perimeter/attackers-heavily-targeting-vpn-vulnerabilities-/d/d-id/1340770)
[CISA: APTs exploiting Fortinet FortiOS vulnerabilities (techtarget.com)](https://searchsecurity.techtarget.com/news/252498840/CISA-APTs-exploiting-Fortinet-FortiOS-vulnerabilities)
Nei malware complessi vengono incapsulati talmente tanti strumenti diversi per fare movimento laterale ed escalation che difficilmente trovi in malware classici, con lo scopo di far fronte a qualsiasi buco presente nell’infrastruttura per sfruttarlo ed andare avanti. A partire da Mimikatz ormai storico, passando da CobaltStrike e arrivando a BloodHound, tre esempi di strumenti moderni di escalation e movimento laterale.
Fate ben differenza tra banali criminali e APT Groups (Advanced Persistence Threat), che possono essere formati da molte persone e che possono ricevere sovvenzioni governative per perpetrare attacchi complessi e lunghi (anche mesi), anche a scopo governativo e geopolitico.
Non è fantascienza, esistono davvero, e se per il loro obiettivo geopolitico basta cifrare l’infrastruttura informatica per la somministrazione dei vaccini, beh allora lo fai e rischi di mettere in dubbio la ripresa di una regione intera, anche se agli occhi sembra un “banale ransomware”.
[Advanced Persistent Threat Groups (APT Groups) | FireEye](https://www.fireeye.com/current-threats/apt-groups.html)
Quindi ragazzi, gli scenari di attacco veri della regione Lazio, ancora non li sappiamo e magari mai li sapremo, ma non diamo per scontato che sia un attacco banale e che la regione ci sia cascata come nella peggior pubblica amministrazione.
Lasciamo lavorare gli incident responders! #respect4responders
25 comments
Parlare di organizzazioni è poco credibile a mio avviso. Può essere utile per paventare spettri di nemici da combattere (con grandi budget), ma l’ esperienza insegna che – per quanto riguarda il ransomware – ci troviamo di fronte a dei network ( il forum, lo sviluppatore del ware, il trovatore di credenziali, l’ exploiter ) temporanei. Non mi stupirei se dietro a questo attacco ci fosse un ventenne (generalmente est europeo).
Una organizzazione con scopi “geopolitici” rimarrebbe under the radar una volta ottenuto l’ accesso. Questo vuole solo comprarsi una BMW.
PS: il DBA di laziocrea andrebbe appeso per le palle ed il CIO pure. Ammesso che esistano queste figure..
[deleted]
Si son perfettamente d’accordo sulle metodologie di attacco, anche un semplice cryptolocker comunque non è da deridere, mica “son tutti imparati”, mi ricordo a lavoro arrivavano delle mail con lo stesso mittente del dirigente del dipartimento, con allegate fatture di aziende reali e nostri fornitori, tra le centinaia giornaliere, te le apri senza pensarci: crittati tutti i dati.
La colpa della regione Lazio, anzi di chi si occupa dell’ IT (non ricordo il nome dell’azienda), è stata quella di non aver backup offline o organizzati meglio.
Basta che tieni il cavetto Ethernet scollegato fino alle 19, e alle 19:05 passa la donna delle pulizie (ovviamente è una battuta) e fai partire automaticamente il backup. Solo che per comodità si tiene sempre tutto attaccato e si fa partire in automatico. O almeno tenere un backup offline una volta alla settimana.
Sicuramente non risolve il problema di dozzine di pc infetti, ma permette di tornare in parte operativi ai servizi bloccati.
Ad ogni modo, io ho capito che è stato un dipendente in WFH che ha fatto l’accesso alla VPN della regione, non era dietro 2FA o qualcuno ha fatto un attacco man-in-the-middle avendo prima colpito il PC del dipendente a casa. Quindi non la solita mail ransomware.
Poi queste vulnerabilità son presenti e note da parecchio, tipo la CVE-2019-14899, però la patch da altri problemi quindi tanti la disattivano e dicono “non succederà certo a me”. E poi… ma anche io stesso dico a tanti amici “massî lascia disattivata la mitigazione della vulnerabilità che altrimenti devi andare ad aggiungere roba ad iptables perchè se no hai casino sulla lan”.
Non capisco quelli che prendono per il culo la regione Lazio o chi scrive articoli di giornale riportando le parole di politici che non sanno nulla e parlano di “attacco mai visto, iper ultra sofisticato, ecc”, prendere in giro non serve a nulla, quelli fanno i politici è ovvio che esagerano per non perdere consenso. Volete che un tecnico vada lì a spiegare a loro cosa è successo veramente e loro TV si mettano a riportare le caratteristiche di quel attacco? Eddai..
Finché stanno sul generico va anche bene, dovrebbero invece dire “dobbiamo indagare sulle responsabilità di chi non ha lavorato correttamente”, per io resto delle PR televisive chissene. Perchè certe cose non si possono neanche prevenire ma è dovere mitigarle.
Username: regionelazio
Password: Regione.Lazio1
Quote.
Premesso che di cyber security so 0 e sono certo che tutto ciò che hai detto sia assolutamente ragionevole, nel caso specifico la cosa parrebbe più banale (per carità è il Corriere non il NYT ma comunque)
https://roma.corriere.it/notizie/cronaca/21_agosto_05/attacco-hacker-pc-usato-figlio-dell-impiegato-smart-working-c9c7414e-f5bf-11eb-be09-a49ff05c6b25.shtml
Spiegazione troppo complicata. Preferisco l’interpretazione del fatto data da r/italy: hanno stato i boomer.
Finalmente qualcuno che dice le cose come stanno.
Qui, ma soprattutto su LinkedIn sono tutti pronti a sputare sentenze e dare soluzioni da grandi esperti.
> Partirei rispondendo a chi minimizza l’attacco perchè trattasi in realtà di banale ransomware.
Non “minimizza” ma “ridimensiona”: si era partiti sventolando a giornali unificati ipotesi fantascientifiche di cyberterroristi novax che avevano preso di mira l’infrastruttura del piano vaccinale, e giorno dopo giorno si sono scoperti elementi che puntano tutti verso un generalizzato attacco ransomware, con l’infrastruttura IT del piano vaccinale notata per prima semplicemente perché è la parte che è più visibile al pubblico in questo momento.
> Non è fantascienza, esistono davvero, e se per il loro obiettivo geopolitico basta cifrare l’infrastruttura informatica per la somministrazione dei vaccini, beh allora lo fai e rischi di mettere in dubbio la ripresa di una regione intera
Sono un po’ di anni ormai che va di moda invocare lo spettro di cyberattacchi da parte di potentissimi gruppi con scopi geopolitici terrificanti (ma tipicamente rispondenti a quelli del nemico del giorno come la Russia, la Cina o l’Iran).
Io ho leggerissimi dubbi sul fatto che attaccare l’infrastruttura IT della regione Lazio sia stato un colpo geopolitico portato da qualche nostro avversario, quanto piuttosto un attacco partito dalla classica campagna ad ampio spettro che ha portato a scoprire vulnerabilità di volta in volta più succose per poi arrivare a chiedere un riscatto.
Temo il giorno in cui la mia banca mi manderà una mail per dirmi che :
A) abbiamo subito un attacco loooackerrr
B) i conti sono tutti bloccati
C) C’è da pagare un riscatto di * € che fanno mettiamo 200 euro a conto..
…
Che si fa? Paghiamo o no? L’assemblea dei soci ha deliberato all’unanimità il pagamento.. Pagareeeeee
Inutile dire che per eventi di questo genere bisognerebbe pensarci prima con assicurazioni e clausole varie.. Certo è che tutto si traduce in un costo per il correntista.. Ormai anche il crimine ormai si è evoluto.. Sono passati a fare le rapine in smart working..prima almeno il rischio era di venire impallinati se si rapinava una banca e il coraggio ce lo avevano in pochi per fortuna.. Adesso puoi comodamente rapinare chiunque virtualmente sorseggiando un Martini su una spiaggia.
I programmatori pensano di essere gli dei dell’informatica, se sanno programmare allora credono di poter fare tutto: dal networking al disaster recovery.
Tra parentesi TUTTI possiamo finire vittima di un attacco di scam/phishing.
Dipende tutto da:
* Quanti in generale siamo sospettosi
* Stato mentale in quel momento
* Situazione del momento ( se ho appena aperto un conto nella banca X e mi arriva un’email che sembra essere della banca X che menziona problemi con il conto appena aperto è molto più facile credere che sia legittima, mentre se non ho conti sulla banca X mi sembra subito una comunicazione farlocca)
* Quanti il messaggio è mirato a te e alla tua situazione
Ad es Jim Browning, uno che come hobby ferma gli scammer ecc, di recente è stato vittima di uno scam. Consiglio a tutti di vedersi il suo video a riguardo perché davvero ti fa capire che anche i migliori possono essere fregati: https://youtu.be/YIWV5fSaUB8
Tutto quello che affermi è vero, non è facile.
D’altra parte però PrintNightmare è uscito praticamente “ieri” (informaticamente parlando) ed è facile cadere nello stereotipo della lentezza delle pubbliche amministrazioni e pensare che non l’abbiano patchato.
Considerato che gli hanno criptato pure i backup come da migliore tradizione con molta probabilità il server di backup stava nel dominio insieme agli altri, rinforzando lo stereotipo di cui sopra. Cioè nel 2021 non avevano nessun tipo di prevenzione per questo tipo di attacchi. Che dire…
Detto questo, è vero che ancora non ci sono ransomware pubblici che exploitano printnightmare ma qui la parola chiave è “pubblici”. E’ ragionevole che chi li ha scritti se li stia ancora tenendo per puntando su target “facili”.
Insomma, anche wannacry non era nato per la Maersk.
Poi tutto può essere, ma se fosse “mirato” han *decisamente* sbagliato mira: in italia si piratano le licenze da 5€ figurati se *una pubblica amministrazione* pagherà mai un riscatto.
A valle di ciò rimarrebbe solamente il discorso “strategico” di ridurre l’accesso alle prenotazioni sanitarie degli abitanti della regione lazio per qualche giorno (o settimana). Ma a che pro? Chi ci guadagna? Cioè il danno di immagine lo escluderei, servivano veramente altre prove che informaticamente le PA italiane fanno pena? Cioè capirei se avessero hackato google ma cioè, la regione Lazio? Cosa vogliono, delle congratulazioni?
Insomma non lo so, di solito la spiegazione più semplice è quella giusta. Per me la segretaria ha aperto la “fattura” o il “documento di trasporto” del “corriere” ed è finita li.
Hai aspettative troppo alte su questo sub, credo che forse una persona su 100 sappia che nei mesi scorsi hanno manomesso *l’intera* sanitá olandese o l’infrastruttura petrolifera del Southeast in US in modo simile. Molto piú facile fare battute sul dipendente in smart working che ha cliccato sul banner dei porno per farla passare per l’equivalente IT della truffa dello specchietto
Io penso che tu voglia fare la cosa piu’ complessa di quella che realmente e’, perche’ altrimenti la realta’ e’ veramente disarmante. Ma io penso che il tutto sia molto semplice e la realta’ sia in effetti disarmante, ed avendo l’accesso di un utente comune arrivi molto semplicemente ad escalare permessi. Ci sono decine di esempi sotto: password di root in chiaro, banali, mandi una mail all’IT e ti da root su quello che vuoi ecc ecc.
>Non è fantascienza, esistono davvero, e se per il loro obiettivo geopolitico basta cifrare l’infrastruttura informatica per la somministrazione dei vaccini, beh allora lo fai e rischi di mettere in dubbio la ripresa di una regione intera, anche se agli occhi sembra un “banale ransomware”.
Ma allora perché non cancellare tutto e stop, senza chiedere riscatti esponendosi al rischio di essere rintracciati con ulteriori contatti successivi all’infezione?
Vorrei ricordare all’utenza che qualche mese fa sono ci sono stati attacchi di hacker ai danni del Pentagono, State Department, Department of Homeland Security e Coastal Pipeline e i primi 3 che ho elencato se ne sono accorti ben 9 mesi dopo. Se riescono ad hackerare i sistemi del governo USA non ci si può sorprendere più di tanto che sia successo anche in regione Lazio
Tutto giusto ma diventa inutile nel momento in cui se ne escono con roba da pagliacci tipo “gruppi terroristici novax con l’attacco più potente del mondo” e robe simili.
Se si limitassero a comunicare quello che succede non ci sarebbe bisogno di prenderli in giro e la gente non sminuirebbe anche attacchi seri.
Se a ogni Pennetta usb che non funziona se ne escono con le frasi da boomer e il solito scaricabarile a gruppi fantasiosi che non esistono magari la gente non reagirebbe cosi.
Il problema non è tanto il fatto che hanno intercettato le credenziali di un dipendente, può succedere.
I due problemi più grossi sono:
– i sistemi importanti non devono essere direttamente accesibili da remoto, devono essere alcuni strati di separazione.
– il backup dei dati deve essere fatto ogni santo giorno, una volta fatto non deve essere scrivibile e, soprattutto, devi avere una copia fuori sede.
Questo è il minimo sindacale per sopravvivere ad attacchi o disastri.
Per non parlare di altre soluzioni da implementare per arginare questo genere di attacchi…
Il vero problema è che per ovviare a questi problemi basta qualche migliaio di euro di euro di backup Cloud con history, che nessuno spende
Sopravvaluti tutto, sia la sicurezza “aziendale” di un posto come una regione sia la qualità dei dipendenti.
Per dirne una, vuoi buttare un ransomware alla mia ditta? Ti presenti ed entri con una scusa qualsiasi, guardi un po’ in giro con aria spaesata e hai tutto quello che ti serve, password, ip statici, ogni singola cosa. Torni a casa, ti butti dietro un vpn giusto per fare overkill, e con tutta la calma che ti contraddistingue ti colleghi al server in desktop remoto come amministratore e fai il cazzo che vuoi.
Realtà del genere sono diffusissime, alla gente non frega niente della sicurezza fino a che non succede il disastro.
Ma Zingaretti a chi ha affidato il compito (una società privata? Tramite un bando pubblico?) e quanti soldi la Regione Lazio ha stanziato per l’intera infrastruttura e la sua gestione? C’è una nebbia fitta per nascondere le responsabilità politiche.
>Mi piaceva l’idea di condividere con voi qualche punto di vista più ragionato e non improvvisato.
Praticamente impossibile ragionare su un fatto di cui non si sa nulla. Si possono riportare le notizie della stampa e divertirsi a dare i bimbominchia su come guadagnare 9999 € a settimana promessi dalle mail. Aggiungo che non siamo e non saremo un’amministrazione trasparente, guarda il caso della Corte dei Conti che indaga proprio sulla regione Lazio e trova l’allegra gestione dei fondi cybersecurity. Non posso neanche dare tutte le colpe a Zingaretti poiché sono cose che accadono da sempre. Se hai in eredità una casa diroccata …
Scusate, ma questo dipendente ha cliccato qualche mail etc? Come hanno avuto acceso all’infrastruttura? Grazie mille
La parte Logistica della azienda per cui lavoro ha subito di recente un attacco informatico, non so di più, per cui gli ordini sono rimasti bloccati circa 4 giorni in attesa di ripristinare i sistemi… Poi hanno recuperato gli arretrati, senza perdita di dati, facendo quadrupli salti mortali, e finita lì… In massimo 10 giorni siamo tornati alla normalità.
A me interessa veramente poco cosa sia successo, ramsonware, virus del vaiolo, alien informatici… La domanda che mi interessa è: è possibile rimanere fottuti così da un attacco che l’agenzia per la sicurezza informatica, che pagano profumatamente, si aspetta?