Autor: Marco Crabu para Ciberprisma – Gentileza de OFCS REPORT

Después del ataque de piratas informáticos  el sábado por la noche realizado con el infame Ransomware,
la región italiana de Lacio levanta la bandera blanca.  

¿Qué es ransomware?

El Ransomware es un término con el que lamentablemente nos estamos familiarizando y que obstruyó el acceso al portal informático para reservar la vacuna anti-Covid 19 en la Región del Lacio, así como a un número indeterminado de «servicios sensibles» ofrecidos por los principales gobiernos locales italianos, que fueron desactivados rápida y temporalmente para protegerlos «de una infección en curso» .

 Las hipótesis más dispares y extrañas

Mientras los investigadores continúan trabajando de manera acelerada para esclarecer las causas y las características del ciberataque (además de la demanda de rescate que presuntamente habrían recibido de manera reciente – aunque esta versión aún no ha podido ser confirmada), en las portadas de los principales periódicos, con titulares destacados, comenzaron a circular las hipótesis más dispares y bizarras, fomentadas incluso por declaraciones de políticos locales : ¿el terrorismo internacional? ¿No Vax? ¿Anonymous? ¿Algún actor próximo y beligerante? Frente a estas fantásticas teorías, incluso el más desencantado Pier Luigi Bersani (ex secretario de PD) habría pronunciado su pintoresca expresión: “¿Es una broma?  ¿O acaso nos volvimos locos?”. 

Y si bien algunos avances de la investigación podrían conducir a alguna teoría conspirativa, el único hecho cierto e indiscutible es que nuevamente nos enfrentamos al enésimo episodio del más básico de los errores humanos que se origina, entre otras cosas, en una débil o incluso  ausente capacitación en ciberseguridad. Hablamos de esa formación que cada una de las personas (empleados y no empleados) con autorización para operar los sistemas informáticos de la Región de Lacio, debería recibir con la debida anticipación .

Pero, ¿cómo es posible que los datos sensibles de los ciudadanos se encuentren ahora al alcance de cualquiera, solamente porque nadie ha pensado en una infraestructura de información sólida y con procedimientos de seguridad adecuados, capaz de soportar el más obstinado – pero no inesperado – de los ataques de tecnocriminales?  

Los funcionarios de más alto rango en las estructuras del gobierno regional deberán analizar varias cuestiones relacionadas con el desarrollo y posterior definición del incidente, pero no sólo para sancionar a los responsables por las ineficiencias del «juguete informático» del Gobierno, sino para corregirlas y para asegurarse de que eventos similares no vuelvan a ocurrir con tanta facilidad. Aunque parezca trivial, Italia ocupa el cuarto lugar entre los países de Europa más afectados por los tecnodelincuentes, que a diario lanzan sus ciberataques en busca de las hazañas más descaradas. Cualquiera esperaría contar a esta altura con un grado considerable de experiencia en las filas de la llamada «infraestructura crítica»,  pero evidentemente esta no sería la situación.

.Hackear la región de Lazio

Fuente: aplazio.it

Desde la página de Facebook del presidente de la Región de Lacio, Nicola Zingaretti, se informa: » En la noche entre el sábado y el domingo, la Región de Lacio sufrió un primer ciberataque de origen criminal. No sabemos quiénes son los perpetradores y sus propósitos. El ataque bloqueó casi todos los archivos del centro de datos. La campaña de vacunación continúa con regularidad para todos los que han reservado su turno. En los próximos días, las reservas de vacunas, por ahora suspendidas, volverán a abrirse.  Por el momento, el sistema está desconectado para permitir las tareas de verificación interna y evitar la propagación del malware introducido con el ataque. LazioCrea nos informa que los datos de salud están seguros, así como los datos financieros y presupuestarios. Estamos migrando servicios esenciales a nubes externas para que estén operativos lo antes posible ( … ) 112, Ares 118, Urgencias (Pronto Soccorso), el Centro de Transfusiones y la agencia de Protección Civil (Protezione Civile) no han sido afectados y prestan servicios con regularidad. El Green Pass se envía de la forma habitual, gracias a la colaboración de la autoridad responsable. En cuanto al Centro Único de Reservas (CUP por su sigla en italiano): estamos trabajando para volver a ponerlo en funcionamiento (…) La situación es muy seria y grave por lo que inmediatamente alertamos a la Policía Postal y a los niveles más altos del Estado a quienes agradecemos su asistencia”.

De las declaraciones del Consejero de Sanidad Regional, Alessio D’Amato, entrevistado por Reuters, se desprende que el ciberataque obligó a interrumpir el funcionamiento del portal de reservas para acceder a vacunas anti-Covid, sólo para evitar que el código malicioso se propagara incontrolablemente a todos los sistemas informáticos del Centro de Generación de Datos (CED por su sigla en italiano). Por el momento, agrega el funcionario, debido a la interrupción de los sistemas informáticos, sólo fue posible compartir datos sobre nuevos casos positivos de Covid-19, muertes e ingresos hospitalarios, a la espera de que los técnicos aseguren el funcionamiento del sistema de reservas de vacunas.

Funcionarios regionales reafirman (todo por confirmar) que no hubo exfiltración de datos sensibles . Pero es igualmente cierto que la infección causada por el malware también ha cifrado las copias de seguridad. Esto permitiría suponer que el ataque fue diligentemente preconcebido y, por otra parte, que los ciberdelincuentes no encontraron en su camino una gran resistencia que pudiera entorpecer su nefasta tarea.

Ransomware iniciado por un operador de teletrabajo

Aparentemente, el ataque de Ransomware se habría iniciado a partir del acceso de los tecnocriminales a un usuario de VPN (Virtual Private Network – Red Privada Virtual) asignado a un empleado de la Región Lacio, ubicado geográficamente en la ciudad de Frosinone, donde operaba de forma remota en un régimen de teletrabajo y donde también se constató la ausencia de un procedimiento estándar de seguridad para acceder al sistema regional de TI mediante una «autenticación de factor múltiple». Este procedimiento se utiliza en la actualidad en la gran mayoría de las grandes empresas. La identidad del usuario remoto generalmente se verifica en dos etapas distintas: identificación y autenticación. En la primera fase el usuario certifica su identidad al sistema, mientras que la segunda fase alude a la técnica con la que se verifica su identidad. Pero es igualmente cierto que esta técnica también oculta algunas serias limitaciones de seguridad. “La contraseña, de hecho, se puede transcribir y robar, perder, deducir, compartir u olvidar y, por tanto, no es adecuada en sistemas donde es necesario tener una certeza razonable sobre la identidad real de la persona que accede” (Wikipedia ). Para abordar estas debilidades, se han desarrollado las técnicas denominadas de “autenticación fuerte” o «autenticación de factor múltiple».

Puerta trasera para acceder a los sistemas de la Región de Lazio

Fuente: cybersecurity360.it

Los ciberdelincuentes, probablemente mediante la inoculación de un troyano (el virus informático que generalmente se transmite por correo electrónico a la víctima con la apariencia de un archivo adjunto que la misma abre casi de manera «inconsciente»), habrían accedido inicialmente al usuario del empleado regional e instalado una «puerta trasera» (backdoor), sin mayores dificultades, en el sistema informático. Una puerta trasera es un método oculto que se emplea normalmente para eludir los procesos de autenticación y/o cifrado normal en una computadora. Este recurso permite acceder a información privilegiada como contraseñas, corromper o borrar datos en discos duros o transferir información dentro de redes (cit. wikipedia) . Desde aquí penetraron todo el sistema, hasta identificar a un usuario con privilegios de administrador desde donde lanzaron el ataque .

Según declaraciones vertidas por diferentes expertos de la industria cibernética, la modalidad del ataque se relaciona con el «modus operandi» de un grupo de ciberdelincuentes especializados en ataques ransomware, conocida como «RansomEXX«. Este grupo que se creía estaba inactivo, habría surgido originalmente bajo el nombre de Defray en 2018 para luego cambiar su denominación a RansomEXX en junio de 2020. A partir de entonces dirigió su atención a las grandes infraestructuras corporativas para penetrar sus sistemas informáticos y encriptar datos, con el fin de obtener ganancias a través del método de extorsión. Entre las víctimas de mayor renombre cabe mencionar las redes del gobierno brasileño, el Departamento de Transporte de Texas, Konica Minolta, IPG Photonics y la CNT (Compañía Nacional de Telecomunicaciones) ecuatoriana.

La supuesta notificación de los atacantes que apareció en los sistemas de la región de Lacio incluiría el direccionamiento a una página en la dark web a la que deberían acceder los funcionarios regionales para negociar una posible solicitud de rescate con la banda de ransomware. Sin embargo, por el momento no está claro si en realidad ha llegado la mencionada notificación.

En cambio, otros expertos afirman que el ataque perpetrado en Italia fue realizado por LockBit 2.0, otro grupo de ransomware. No obstante no hay confirmaciones oficiales en su portal donde deberían haberse adjudicado el ataque como se esperaría que suceda.

Otras fuentes incluso identifican a Alemania como el país europeo desde el que habría comenzado el ataque criminal, pero esto también está por determinarse. De hecho, casi todos sabemos que en los últimos años la mayoría de los exploits se llevan a cabo desde Europa del Este, y que la atribución geográfica de Alemania en este caso como punto de partida del hacking podría ser simplemente el resultado de una triangulación de ataques. lanzado desde servidores ubicados en varios países.

Por lo tanto, los piratas informáticos se han aprovechado de este momento histórico particular protagonizado por una pandemia desenfrenada, donde incluso la atención de las personas se reduce inexorablemente, aprovechando al máximo la oportunidad para obtener ganancias de manera ilícita. Las agencias de todo el mundo ya habían alertado a la opinión pública por la proliferación incontrolada de los ataques de ransomware, dando instrucciones básicas sobre cómo evitar ser víctimas de delitos de piratería informática, pero al parecer todavía hay mucho trabajo por delante.

  • Marco Crabu – Licenciado en Ciencias Sociológicas, Facultad de Ciencias Políticas de la Universidad de Bolonia. Especialista en Seguridad, Geopolítica y Defensa

Artículo publicado originalmente en italiano el 04/08/2021 en OFCS.Report – Osservatorio – Focus per la Cultura della Sicurezza, Roma, Italia, https://www.ofcs.it/cyber/attacco-hacker-regione-lazio-lerrore-umano-e-la-carenza-di-formazione

Artículo traducido al castellano por Ciberprisma con autorización expresa del autor y del editor de OFCS.Report