Il grave attacco informatico alla pubblica amministrazione

Venerdì 8 dicembre l’azienda Westpole, uno dei principali fornitori di servizi informatici in Italia, è stata colpita da un grave attacco informatico: i criminali sono riusciti a bloccare i server di Milano e Roma con un ransomware, un software che consente di arrivare ai dati contenuti nei server e tenerli bloccati con l’obiettivo di chiedere un riscatto.

L’attacco ha avuto gravi conseguenze soprattutto per PA Digitale, un’azienda privata che fornisce software alla pubblica amministrazione tra cui 540 comuni e oltre 700 tra enti e aziende pubbliche. Da allora sono stati segnalati disservizi soprattutto nei comuni dove sono andati offline i programmi per la gestione degli uffici anagrafe e dei dati interni dei dipendenti. Per estensione e danni, è uno dei più gravi attacchi informatici contro la pubblica amministrazione.

Lunedì l’Agenzia per la cybersicurezza nazionale (ACN) ha confermato che l’attacco informatico è stato organizzato e rivendicato dal gruppo criminale Lockbit che ha chiesto un riscatto a Westpole per sbloccare i server. Non sono state date informazioni sulla richiesta economica dei criminali, né sull’eventuale pagamento. Negli ultimi giorni l’ACN ha collaborato con Westpole e con PA Digitale per ripristinare i servizi e recuperare i dati di 700 amministrazioni, ma ne mancano ancora molti altri e l’operazione non è conclusa: i tecnici stanno cercando di recuperare i dati fino a tre giorni prima dell’attacco.

Lockbit è un gruppo criminale che ha base in Russia. Il suo metodo è consolidato e molto comune: i ransomware, infatti, riescono a causare danni estesi e sono considerati molto efficaci perché non servono grandi strumenti per gestirli e organizzare gli attacchi. Di fatto questo metodo consente ai criminali di rischiare poco, perché scoprire gli autori di questo tipo di attacchi è molto complicato. Ogni anno in Italia ne vengono segnalati centinaia che colpiscono prevalentemente aziende oppure strutture pubbliche come gli ospedali. Lo stesso Lockbit ha organizzato attacchi alle aziende sanitarie di Padova e di Messina e ai comuni di Villafranca, Gonzaga e Gorizia.

– Leggi anche: Perché la sanità è così vulnerabile agli attacchi informatici

Negli ultimi anni gli attacchi fatti con ransomware sono aumentati in modo significativo a causa di una raffinata organizzazione dei gruppi criminali che hanno preso spunto dalle aziende. Anche Lockbit, così come altri gruppi, lavora secondo un modello chiamato SaaS, acronimo di “Software-as-a-service”, lo stesso utilizzato da molte grandi aziende che mettono sul mercato prodotti accessibili via browser, senza la necessità di doverli scaricare o installare. Da anni ormai questo modello è utilizzato per molti servizi, dalle mail agli editor di foto, con vantaggi per i clienti per via dei costi contenuti e della relativa facilità di manutenzione e aggiornamento.

I gruppi criminali hanno adottato questo modello per organizzare attacchi sempre più ambiziosi: per questo si parla di RaaS (Ransomware as-a-Service). Il RaaS consente a tutti i criminali affiliati di avere a disposizione una serie di servizi a pagamento, a partire dal software necessario per bloccare i dati e rubarli, fino alla gestione delle negoziazioni con l’istituzione attaccata. La fornitura del ransomware non è l’unica parte importante dell’impresa: in ogni passaggio e in ogni livello dell’organizzazione lavorano persone con un alto livello di specializzazione nel loro campo, esattamente come nelle divisioni o nei reparti di un’azienda.

C’è chi ha il compito di infiltrarsi nei server, chi sviluppa il ransomware, chi gestisce la fase di negoziazione e il riscatto. I fornitori di questi servizi ottengono un guadagno solitamente basato su una percentuale del riscatto: è un meccanismo che ha creato una certa competizione tra i diversi RaaS sul mercato.

– Leggi anche: I criminali informatici sono diventati imprenditori

Il 15 dicembre Westpole ha pubblicato un comunicato sul suo sito in cui dice che i suoi tecnici hanno lavorato «24 ore su 24» per risolvere il problema e ridurre al minimo l’impatto sui clienti, ma che «sfortunatamente alcuni clienti sono ancora interessati dal problema». L’Agenzia per l’Italia digitale (AGID) ha inviato una richiesta di informazioni e chiarimenti a PA Digitale per chiederle di spiegare e rispondere su una serie di questioni, tra cui l’impatto che ha avuto l’attacco e quanti contratti attivi con enti pubblici e privati sono stati interessati dai disservizi.