Il gruppo criminale Lockbit in passato è stato responsabile nel 2021 del grave attacco informatico nei confronti della Regione Lazio.
Il gruppo di cyber criminali Lockbit dietro l’attacco informatico di tipo ransomware che sta paralizzando la Pubblica amministrazione italiana.
La conferma è arrivata ieri sera direttamente dall’Agenzia per la Cybersicurezza Nazionale (ACN). In un comunicato l’agenzia ha annunciato “che da diversi giorni è in contatto con la Westpole S.p.A. e con PA Digitale S.p.A. per dare loro il massimo supporto al contenimento dei disservizi dovuti all’attacco. L’attività svolta ha consentito il ripristino di tutti i servizi impattati, nonché il recupero dei dati oggetto dell’attacco per più di 700 dei soggetti pubblici nazionali e locali, legati alla catena di approvvigionamento di PA Digitale S.p.A”.
“Per le restanti Amministrazioni, continua il comunicato, sono circa 1.000 i soggetti pubblici legati contrattualmente a PA Digitale S.p.A. per l’erogazione di servizi gestionali di varia natura – resta l’esigenza di recuperare i dati risalenti ai 3 giorni precedenti l’attacco, avvenuto l’8 dicembre. È inoltre da precisare, come confermato dalla stessa società PA Digitale, che l’attività svolta consente di scongiurare la paventata, mancata erogazione degli stipendi di dicembre e delle tredicesime a favore dei dipendenti di alcune Amministrazioni locali indirettamente impattate. Infine, i rallentamenti dei servizi digitali che si sono registrati nella mattinata odierna sono dovuti alla congestione degli accessi simultanei e non rappresentano una conseguenza diretta dell’attacco informatico”.
Il ransomware LockBit e la tipologia di attacchi
Il gruppo criminale Lockbit in passato è stato responsabile nel 2021 del grave attacco informatico nei confronti della Regione Lazio e nel 2022.
LockBit è una cyber gang che resiste da molto tempo nel mercato delle affiliazioni RaaS rinnovandosi costantemente. Ha iniziato le sue operazioni a settembre 2019 chiamandosi ABCD per poi cambiare il suo nome in Lockbit. Successivamente il marchio è stato rinominato in LockBit 2.0 apportando diverse novità e a giugno 2021, sono stati apportati dei cambiamenti introducendo la piattaforma Lockbit 3.0.
LockBit 3.0 introduce diverse novità, come una piattaforma di bug-hunting relativa alle infrastrutture utilizzate dalla gang, l’acquisto di criptovaluta, una nuova sezione per gli affiliati e ulteriori modi per monetizzare che possono essere sintetizzate in:
- Estensione del “countdown”: la vittima può pagare dei soldi per estendere il countdown per la pubblicazione dei dati;
- Distruzione di tutte le informazioni: la vittima può pagare per distruggere tutte le informazioni esfiltrate dalla sua organizzazione;
- Download dei dati in qualsiasi momento: la vittima può pagare per ottenere l’accesso al download esclusivo di tutti i dati esfiltrati dell’azienda.
Ovviamente il costo per ogni tipologia di “servizio” è differente e si può pagare in Bitcoin o in Monero.
Attacco Westpole, PA Digitale: “Sistema di conservazione integro, nessuna compromissione di dati”
Arriva il chiarimento di PA Digitale riguardo la richiesta di chiarimenti dettagliati da parte dell’Agenzia per l’Italia digitale (Agid). L’Agenzia aveva chiesto in particolare se l’evento aveva coinvolto i servizi di conservazione a norma, un aspetto cruciale considerando la sensibilità dei dati gestiti, richiedendo inoltre anche una panoramica completa delle aree colpite e delle funzionalità compromesse oltre ai dettagli dei disservizi.
“Per quanto riguarda la richiesta di informazioni e di chiarimenti pervenuta da AgID a PA Digitale S.p.A, si legge in un comunicato pubblicato dall’azienda, in data 14 dicembre 2023 – PA Digitale S.p.A. è Conservatore Qualificato AgID – PA Digitale S.p.A. ha confermato in data 15 dicembre 2023 che:
- Il sistema di Conservazione è intatto e integro;
- nessuna compromissione di dati si è verificata;
- al momento il sistema di Conservazione è tenuto in sicurezza e non riattivato in attesa di una completa stabilizzazione della situazione generale e dei necessari controlli di sicurezza.
L’azienda conferma il “ripristino delle funzionalità operative per tutti i clienti della Pubblica Amministrazione coinvolti nell’attacco, resi di nuovo operativi a partire dalle 08:00 del 18 dicembre 2023; sono attualmente in corso attività di miglioramento delle prestazioni relative ai nuovi impianti, associate alla necessità di ampliamento della banda utilizzabile in corso. PA Digitale S.p.A. sta quindi accompagnando gli Enti pubblici ad un progressivo ritorno alla piena normalità”.
Ripristinata la fattura elettronica
“PA Digitale S.p.A. è inoltre fornitore anche di componenti tecnologiche e funzionali rivolte al Mercato Privato (imprese, professionisti) nell’ambito della Fatturazione Elettronica”, continua la nota. “In tale ambito si comunica che è stata ristabilita l’operatività delle connessioni con il Sistema di Interscambio (SDI) di Agenzia delle Entrate, a cui va riconosciuta la totale collaborazione dimostrata nella tempestiva risoluzione delle richieste che le sono state indirizzate e gli utenti dell’applicazione Fatturazione Elettronica stanno iniziando a riprendere la generazione e l’invio delle fatture elettroniche, in sicurezza di accessi”.
La struttura tecnica dedicata al Mercato Privato sta operando senza limiti di risorse ed orario per accelerare la ripresa operativa e supportare i clienti privati nella ripartenza. PA Digitale S.p.A. ancora una volta esprime il proprio profondo rammarico per questa spiacevole vicenda, indipendente dalla propria volontà e al di fuori del proprio controllo, oggi elevata al rango di crisi cibernetica nazionale. L’impegno senza limiti continua, a tutela degli interessi dei clienti e dei cittadini e si desidera ringraziare le Istituzioni, Presidenza del Consiglio dei Ministri nelle componenti ACN e AgID, l’Autorità Garante dei dati personali, l’Agenzia delle Entrate, la Polizia di Stato per la collaborazione e l’attivo supporto che non smettono di far avere”, conclude la nota.
