È la notte del 30 luglio 2021. L’Italia è in piena campagna vaccinale contro Covid-19. Un ransomware infetta i sistemi informatici di Regione Lazio. Il portale per prenotare il vaccino anti-coronavirus resta inaccessibile per ore. I cybercriminali ricorrono al malware Lockbit 2.0 per l’attacco: mettono i dati sotto chiave e chiedono un riscatto in cambio, pena la pubblicazione delle informazioni.
Nel mirino c’è un data center supervisionato da LazioCrea, la società pubblica che ha in gestione i sistemi informatici della Regione. Lockbit è una delle gang più attive. Secondo la società di sicurezza Group Ib, tra il secondo semestre del 2021 e il primo del 2022, il 34% della pubblicazione di dati di aziende europee attaccate sul mercato nero dei dati è opera di Lockbit 2.0. In quei giorni l’allora presidente regionale Nicola Zingaretti, il suo assessore Massimo D’Amato e Vittorio Gallinella, direttore dei sistemi infrastrutturali di LazioCrea, ripetono che un attacco del genere non ha avuto precedenti. E che non è mai stato pagato un riscatto per ripristinare i servizi e i dati, recuperati da un backup. Ma, riscatto a parte, quanto è costata la controffensiva al ransomware inoculato contro Regione Lazio? Un contratto di 136.824 euro. Quasi 167mila se si conta anche l’Iva. Ad aggiudicarselo Microsoft, che sigla l’appalto il 5 agosto.
La storia:
Il contratto
Wired ha fatto una richiesta di accesso agli atti a LazioCrea per ottenere informazioni sull’impegno finanziario della società per rispondere all’attacco. E la spa pubblica ha risposto, per mezzo di una comunicazione a firma del suo stesso amministratore delegato, Luigi Pomponio, fornendo la delibera di affidamento a Microsoft e il contratto. “Considerato l’attacco hacker del tipo ”ransomware cryptolocker” che ha colpito recentemente il Centro elaborazione dati della Regione Lazio e che ha impedito l’erogazione alla cittadinanza regionale di servizi fondamentali e particolarmente critici in questa fase così delicata della pandemia mondiale, come per esempio la prenotazione dei immunizzazioni anti-Covid“, si legge sulla delibera, e “considerata la necessità di prendere urgentemente le opportune contromisure all’attacco subìto mediante l’acquisizione di servizi professionali di rapid ransomware recovery [ripristino rapido dal ransomware, ndr] per il data center regionale”, Vittorio Gallinella, direttore dei sistemi informativi di LazioCrea, si mette alla ricerca del fornitore.
Gallinella deve valutare in tempi stretti le offerte, tra cui quella di Microsoft, che LazioCrea giudica “adeguata tecnicamente e congrua economicamente”. “Considerato che il presidente di LazioCrea, in considerazione della gravità di quanto accaduto e dell’urgenza dell’affidamento in oggetto, ha autorizzato per le vie brevi il rup [responsabile unico del procedimento, ossia della fornitura, che è Gallinella stesso, ndr] a procedere il più velocemente possibile con l’acquisizione dei suddetti servizi professionali”, si passa alla delibera.
Le indagini
L’intesa viene siglata il 5 agosto, a cinque giorno dall’attacco che ha acceso i riflettori sulla sicurezza dei sistemi informatici di Regione Lazio. Il colosso di Redmond sottopone un impegno da 136.824 euro, per la durata di un mese dalla firma degli accordi. Nel pacchetto ci sono servizi di consulenza e acquisto di licenze software. Secondo Repubblica, il 5 agosto i tecnici della Regione trovano la copia di backup dei dati che consente di avviare il ripristino dei servizi. L’ingaggio di Microsoft aggira Leonardo, il campione della difesa che dal 2018 si occupava della sicurezza della Regione Lazio. Come raccontava Domani proprio il 5 agosto 2021, la spa pubblica per l’informatica laziale aveva avuto contatti con altre aziende per acquistare servizi di cybersecurity. Una serie di incontri conoscitivi che avrebbero potuto accelerare la ricerca di un fornitore a cui affidarsi dopo l’incursione di Lockbit velocemente, per rimettere in piedi quanto prima il centro elaborazione dati della Regione Lazio.
Leggi tutto su www.wired.it
di Luca Zorloni www.wired.it 2023-05-09 04:50:00 ,