Cyberattaque sur la région du Latium : que s'est-il réellement passé ?

Vues

(par Giuseppe Gorga, partenaire d'Aidr) Les attaques contre les réseaux informatiques des entreprises et des organismes publics se multiplient. Le récent cas sensationnel est celui de l'attentat contre la région du Latium début août 2021. La CIA et Europoll enquêtent également

Gérer le risque de cyberattaques n'est pas toujours simple, car la cybercriminalité fait évoluer les compétences et les capacités au même rythme que l'innovation des systèmes intégrés de protection des bases de données virtuelles et des systèmes informatiques. En fait, un cas emblématique récent est représenté par l'attaque de pirates informatiques sur la région du Latium au début du mois d'août de l'année en cours.

Selon les premières rumeurs, l'attaque qui a paralysé les systèmes informatiques de la région du Latium aurait pour origine l'ordinateur d'un employé de la société d'ingénierie. Le démenti de l'ingénierie est intervenu immédiatement par une note par laquelle la Société a fait savoir qu'elle n'avait reçu aucune notification des enquêteurs concernant d'éventuels liens avec l'événement, et que si quelque chose de différent était mis en évidence lors des vérifications, ce seront eux qui en informeront le autorités compétentes elles-mêmes. En tout cas, Engineering n'est pas impliqué dans l'épisode, et n'était même pas en charge de la cybersécurité de la région du Latium.

Le FBI et Europol collaborent également sur l'affaire. L'attaque a commencé contre le CED régional. Les systèmes informatiques ont tous été désactivés, y compris tous ceux du portail Lazio Health et du réseau de vaccination. Le CED gère les données de santé et personnelles d'environ six millions de citoyens et les systèmes d'information qui permettent de mener la campagne régionale de vaccination contre le coronavirus. Après quelques jours de suspension, le système de réservation des vaccins de la région du Latium a été rétabli, mais l'alerte demeure pour toute nouvelle attaque. Il semble que le "cryptlocker" utilisé ait également rendu les données de la sauvegarde inutilisables, et que la région du Latium ne soit que la quatrième partie impliquée dans cette attaque. Selon d'autres sources, il semble que l'accès ait eu lieu lors d'une session administrative laissée en connexion par un employé de Lazio Crea, il semble donc qu'il s'agisse d'une attaque de ransomware, également appelée "supply-chain". L'analyse du lien Tor laissé par les criminels a révélé que le malware est RansomExx. Il est employé par un groupe de cybercriminels déjà connu pour des violations de plusieurs gouvernements et grandes entreprises. Il semble que l'ordinateur de l'employé de Frosinone à partir duquel l'attaque a commencé était infecté par un logiciel malveillant. En raison d'erreurs de gestion des privilèges ou de mots de passe dans la Région, il est très probable qu'il était possible pour les cybercriminels de passer de l'ordinateur de l'employé à des comptes avec des privilèges d'administrateur, avec lesquels chiffrer le système. En effet, en exploitant ces vulnérabilités, ou en présence d'erreurs de conception de sécurité du système, il est possible d'obtenir des privilèges d'accès et de contrôler les données détenues (Nevacci, 2021).

En l'espèce, il ne s'agissait pas d'une attaque idéologique (étant donné l'implication des données de vaccination, on supposait qu'elle était promue par le courant « no-vax ») mais plutôt une attaque de pure extorsion, dans le seul but d'obtenir un avantage économique. Le procureur de Rome a formulé pour ces épisodes les délits d'accès abusif à un système informatique, tentative d'extorsion et atteinte aux systèmes informatiques, avec la circonstance aggravante de la finalité du terrorisme. Les enquêtes sont coordonnées par le procureur en chef et chef de file du pool de cybercriminalité, Michele Prestipino et le procureur adjoint, Angelantonio Racanelli, engagés dans la lutte contre les crimes liés au terrorisme.

La ministre de l'Intérieur, Luciana Lamorgese, est également intervenue d'emblée sur l'affaire, s'exprimant à l'occasion d'un discours à Copasir sur la « résurgence du phénomène, qui a touché ces derniers mois les activités tant publiques que privées » et a relevé « la nécessité d'agir en urgence pour élever le niveau de sécurité, la résilience des systèmes d'information et la formation des opérateurs ».

Le maintien de normes de sécurité informatique adaptées génère un besoin croissant d'e-avocats et d'experts informatiques, en tant que profils fondamentaux pour la protection des portails informatiques, la protection des données sensibles et la résolution d'éventuels litiges. (Lupària & Ziccardi, 2007).

Face au besoin de ces nouvelles compétences, les offres de formation professionnelle se sont récemment multipliées en Italie, visant à créer des figures expertes en gestion de la sécurité informatique. La naissance de nouvelles offres de formation représente un modèle de réponse nécessaire pour donner aux demandes nées des événements récents et des dispositifs réglementaires évoqués ici, puisqu'elles participent pleinement à la formation de profils essentiels pour la solution des problèmes qui se posent de manière récurrente sur le terrain. de la sécurité de l'information. Par conséquent, il sera nécessaire que les décideurs politiques, tant nationaux qu'extra-nationaux, activent des mesures qui encouragent les organismes de formation professionnelle dans le secteur de la sécurité informatique.

Cyberattaque sur la région du Latium : que s'est-il réellement passé ?