Secondo Stefano Mele, esperto di cybersecurity: “Non è né terrorismo né cyberterrorismo. Nelle indagini, però, non escludere a priori l’attività di spionaggio mascherata con ransomware”.
Non c’è solo il magistrato che si occupa di reati informatici. Ad indagare sul cyber attacco ai sistemi digitali della Regione Lazio sarà anche un pubblico ministero del ‘pool’ dell’antiterrorismo. Lo ha deciso il capo della procura di Roma, Michele Prestipino, preso atto che l’attacco informatico di due giorni fa ha coinvolto un sistema importante come quello del Lazio, mettendo in pericolo dati sensibili di varie personalità dello Stato, come, ad esempio, il presidente della Repubblica, Sergio Mattarella e il presidente del Consiglio, Mario Draghi.
Sono diversi i reati formulati, il procedimento è ancora contro ignoti, tra cui:
- l’accesso abusivo a sistema informatico e la tentata estorsione. Una prima informativa è stata consegnata ieri pomeriggio dalla Polizia Postale.
Stefano Mele: “Non è né terrorismo né cyberterrorismo. Nelle indagini, però, non escludere a priori l’attività di spionaggio mascherata con ransomware”
“Le indagini saranno dettagliate e richiederanno tempo. In attesa della loro conclusione, ad oggi l’attacco informatico alla Regione Lazio sembra più legato ai criminali informatici, perché sferrato per ottenere un vantaggio economico. Inoltre, è un errore parlare di terrorismo perché, partendo dalla sua definizione scientifica, non ci troviamo di fronte a un ‘fenomeno che fa un uso ideologicamente motivato di violenza indiscriminata, ad opera di soggetti contro la popolazione civile e le istituzioni per diffondere terrore e condizionarne orientamenti e scelte”, spiega l’avvocato Stefano Mele, partner Studio Legale Gianni&Origoni.
“E l’attacco”, continua, “non può essere classificato neanche come cyberterrorismo, perché l’utilizzo di Internet e delle tecnologie non è finalizzato a perseguire gli obiettivi di terrorismo. È un palese attacco informatico attraverso un ransomware, come ne avvengono milioni al giorno in ogni parte del mondo”.
“Tuttavia, non è da escludere a priori”, conclude Mele, “neanche la pista dello spionaggio, perché, spesso, chi sottrae dati dai sistemi informatici pregiati, come lo sono senz’altro quelli della Regione Lazio, che comprende i dati di Mattarella, Draghi e di tante altre figure istituzionali e politiche del nostro Paese, effettua un’operazione di spionaggio e poi, per mascherare l’attività, lancia un ransomware per ‘pulire’ tutto e per depistare le indagini”.
Attacco informatico alla Regione Lazio: si può parlare di riscatto?
Indagini della magistratura che sono in corso ed andranno ad accertare anche la richiesta di riscatto. “Non è stata formalizzata alcuna richiesta di riscatto rispetto a quanto è avvenuto “, ha detto Nicola Zingaretti, presidente della Regione Lazio. In realtà la richiesta di riscatto non è stata formalizzata, concretamente, ed anche quantificata, perché la contrattazione avviene solo se si risponde al messaggio dei cybercriminali lasciato attraverso una pagina Tor.
Di fatto è quella la richiesta di riscatto. Ma giurano le istituzioni, non verrà mai pagato.
Ransomware inoculato nel PC lasciato acceso da un dipendente in smart working
A far involontariamente partire l’attacco è stato un dipendente in smart working di LazioCrea dalla sua postazione di Frosinone. Ma la pista che segue la procura porta al fornitore di servizi informatici che lavora per l’azienda controllata dalla Regione. E non solo. Si tratta di un grosso player, che concentra le sue attività in Italia ma ha sedi in tutto il mondo. I pirati si sarebbero intrufolati nei suoi computer per poi attaccare altre tre realtà, se non quattro, incluso il Lazio.
Dal punto di vista tecnico, il primo attacco sarebbe stato portato a un Mssp. La sigla sta per Managed security service provider, ovvero un professionista esterno che si occupa del monitoraggio e della gestione dei sistemi di sicurezza informatica. Da lì, nel giro di poche ore, LockBit 2.0 si sarebbe replicato a gran velocità utilizzando le chiavi di accesso della vittima.
Al ransomware sono bastate poche ore per infiltrarsi nei sistemi digitali della Regione, e criptare i dati.