Pian piano stanno emergendo nella loro interezza le macerie lasciate da uno dei più grandi attacchi cyber della storia della PA italiana. Il ransomware al fornitore di servizi cloud Westpole che ha impattato sul suo cliente PA Digitale, che a sua volta serve 1300 PA di cui 540 Comuni.
Ne abbiamo parlato alle prime notizie, ma il quadro che si sta formando – dieci giorni dopo l’inizio di tutto – è più disastroso del previsto, come confermano fonti tecniche istituzionali al lavoro sul problema; allo stato in via di risoluzione, ma con strascichi enormi e importanti conseguenze di lungo periodo.
L’articolo qui è aggiornato con le ultime notizie. Val la pena però prendere bene le misure di quanto sta succedendo, perché è un raro caso di attacco sistemico alla PA italiana tramite il fornitore di un fornitore delle vittime.
I danni dell’attacco Westpole-PA digitale
Impattati sono numerosi servizi delle PA per il lavoro interno e rivolti ai cittadini in centinaia di Comuni. I sindaci riferiscono problemi a: gestione dell’albo pretorio, alla fornitura di diversi servizi di pagamento online offerti ai cittadini, al sistema dedicato alle carte d’identità e anagrafe; pagamento dipendenti; sportello unico attività produttive, Pec, protocollo informatico. Ad esempio alcuni Comuni sono dovuti tornare alle modalità analogiche per certi servizi.
Abilitazione al cloud: migrazione, gestione delle applicazioni e sicurezza. Rendi più potente l'IT
I danni variano da ente a ente.
Dipendono dal tipo di servizi affidati al cloud Urbi, sviluppato da PA Digitale e le cui funzionalità dipendono proprio dall’infrastruttura cloud di Westpole.
Dati esfiltrati?
Nessun dato esfiltrato dagli enti, riferiscono tutte le fonti (PA Digitale e diversi Comuni). Le dichiarazioni di questo tipo vanno però prese ancora per le pinze: in passato (vedi ad esempio l’Asl di Modena) le vittime hanno rassicurato sull’assenza di furto di dati e poi sono state smentite da quanto pubblicato dai criminale in fase di rivendicazione.
L’attacco ransomware Lockbit
I criminali collegati alla gang Lockbit hanno richiesto il riscatto a Westpole e dichiarano a varie fonti (anche a Cybersecurity360) di essere stati loro. L’attacco è avvenuto l’8 dicembre all’alba, riferiscono varie fonti dei soggetti colpiti (Westpole e enti).
“Lockbit cripta e porta via dati, funziona così, sempre. Bisogna vedere di quali dati si tratta, ossia cosa stava nei sistemi criptati, e lo scopriremo solo quando pubblicheranno la rivendicazione e un sample sul loro sito”, spiega l’esperto cyber Dario Fadda.
Lockbit è un gruppo criminale RaaS, ransomware as a service, e dobbiamo immaginarli come un’azienda. Come scrive l’agenzia cyber americana, “sviluppa e mantiene la funzionalità di una particolare variante di ransomware, vende l’accesso a quella variante di ransomware a individui o gruppi di operatori (spesso indicati come “affiliati”) e sostiene la distribuzione del proprio ransomware da parte degli affiliati in cambio di un pagamento anticipato, di quote di abbonamento, di una parte dei profitti o di una combinazione di pagamento anticipato, quote di abbonamento e una parte dei profitti”.
L’Agenzia cyber nazionale ha riferito di stare aiutando Westpole a risolvere.
La nota di PA Digitale
“Westpole non ha evidenziato, né durante il periodo di esecuzione dell’attacco, né durante i giorni precedenti, alcuna esfiltrazione di dati”, scrive in una nota PA Digitale. “Abbiamo operato sin da subito per ottenere da Westpole il ripristino di una nuova infrastruttura affidabile e sicura sulla quale, attivando propri gruppi di lavoro in emergenza, ha proceduto alla reimportazione dei dati dei propri clienti partendo da backup di dati, operando, senza limiti di risorse e orario, per garantire un’effettiva, sicura e tempestiva ripresa dei servizi. I clienti – continua la nota – sono progressivamente in fase di riavvio a scaglioni e per gruppi successivi, con le prime riattivazioni avvenute già nella giornata di ieri. Man mano che i singoli clienti vengono ripristinati sulla nuova infrastruttura viene loro riattivato l’accesso ai servizi applicativi e da quel momento il cliente potrà tornare ad operare nel sistema”.
Un primo bilancio
I danni effettivi e le conseguenze si riveleranno insomma con la pubblicazione della rivendicazione da parte degli affiliati a Lockbit. La sensazione è che gli attacchi supply chain saranno la bestia nera anche del 2024. E nessun soggetto, per quanto grande, se ne potrà considerare al riparo. Ma sarebbe errato, a nostro avviso, considerare normale un attacco dalle proporzioni così sistemiche.
C’è da augurarsi in uno scatto di maturità della cyber italiana; con l’affermazione di policy davvero efficaci per prevenire e contenere il problema, a tutti i livelli.
@RIPRODUZIONE RISERVATA