Un ciberataque al sistema de TI del gobierno regional italiano cerró las reservas de vacunación Covid-19 durante casi una semana, pero la atribución sigue siendo turbia.
El 2 de agosto de 2021, los piratas informáticos lanzaron un ataque de malware en el sistema de TI del departamento de salud de Lazio, la región densamente poblada que rodea a Roma, lo que obligó a que su sitio web oficial y el sistema de reserva de vacunas Covid cayeran después de que se encriptara una gran cantidad de archivos.
Inmediatamente después del ataque, el gobernador regional Nicola Zingaretti dijo que había sido lanzado “por personas desconocidas … de fuera del país”, pero lo describió como de “naturaleza criminal o terrorista”.
En un intento por detener la propagación del malware, se cerraron todos los servidores informáticos pertenecientes al gobierno de la región.
Las reservas de vacunas se reanudaron el 5 de agosto mediante un nuevo sitio web. El 9 de agosto se lanzó una versión temporal del sitio web de Lazio. Los funcionarios regionales esperan que otros servicios digitales vuelvan a estar en funcionamiento en los próximos días y semanas.
Según informes del periódico italiano la Republica, se cree que los piratas informáticos obtuvieron acceso a la red de Lazio a través de la computadora de un empleado del gobierno que se había dejado abierta.
El sistema contiene datos sobre “todos los ciudadanos” de la región, escribió Repubblica, incluyendo “toda la clase dominante del país, desde [President] Mattarella a [Prime Minister] Draghi ”, debido a la inclusión de Roma.
Sin embargo, los investigadores de delitos cibernéticos le dijeron a CNN que los piratas informáticos no habían “violado datos sensibles de salud, incluidos los de Mattarella y Draghi”.
Si bien el cifrado de archivos indica un ataque de ransomware, en el que los ciberdelincuentes exigen un pago a cambio del descifrado de los archivos, todavía existe confusión en cuanto a quién llevó a cabo el ataque, ya que la nota de rescate no hizo demandas específicas y no indicó qué operación de ransomware. lo había llevado a cabo.
BleepingComputer ha informado desde entonces que la URL de ONION incluida en la nota de rescate es un sitio Tor conocido para la operación RansomEXX, pero que al hacer clic en la página de negociación aún no se muestra una demanda de rescate.
Además de esto, aunque las páginas de negociación de RansomEXX generalmente brindan detalles sobre el ataque, como la cantidad de datos robados o capturas de pantalla de archivos, esta página no mostró indicios de que RansomEXX haya robado datos.
En una actualización del artículo del 8 de agosto, el investigador de seguridad italiano JAMESWT le dijo a BleepingComputer que había evidencia de que el ataque fue realizado por LockBit 2.0, pero que no pudieron compartir más información.
Desde el ataque, también se ha confirmado que el FBI y Europol están ayudando a la policía italiana en la investigación del ciberataque.
Jaya Baloo, director de seguridad de la información de Avast, dijo que los ataques de ransomware suelen ser el paso final en una cadena de eventos que conduce a redes informáticas comprometidas, y agregó que para evitar que la infraestructura de atención médica crítica sufra una interrupción generalizada en el futuro, deben proteger sus redes y tener ambos. copias de seguridad en línea y fuera de línea para restaurar cualquier pérdida de datos importantes.
“Cuando una organización es atacada por ransomware, los cinco pasos a seguir serían aislar los sistemas afectados, identificar y asegurar las opciones de copia de seguridad, recopilar información de registro y realizar análisis forenses cuando sea necesario, intentar identificar la cepa de ransomware y ver si hay un descifrado clave disponible, y póngase en contacto con la policía y decida cómo proceder ”, dijo.
“En el futuro, también deben crear un plan de respuesta a incidentes que pueda ayudarlos a realizar la clasificación y proporcionar no solo una capacidad de respuesta rápida para los incidentes de seguridad, sino también ayudar a establecer una ruta de mejora incremental. Esto llevará tiempo, pero es un proceso crítico, de lo contrario, la puerta permanecerá abierta para que vuelva a suceder lo mismo en el futuro.
“Desafortunadamente, vemos un aumento en los ataques exitosos porque el ransomware se ejecuta como un servicio para los ciberdelincuentes, lo que aumenta tanto la sofisticación como la facilidad para lanzar un ataque. Necesitamos coordinación nacional para mejorar nuestras defensas en infraestructura crítica y cooperación internacional para acabar con estas operaciones ciberdelincuentes “.