Se da diversi giorni alcuni servizi di molte PA italiane, specie locali, non funzionano è per colpa di un attacco ransomware del gruppo Lockbit. Che si trattasse di ransomware già di sapeva, ora sappiamo anche chi è il threat actor che ha messo in crisi parte dell'Italia per un pericoloso, e spesso sottovalutato, effetto domino.

I fatti, per come sono stati divulgati sinora nella comunicazione ufficiale imposta dal GDPR. A partire dalle prime ore dell’8 dicembre scorsa - il classico attacco da giorno festivo - il service provider Westpole ha iniziato a registrare malfunzionamenti bloccanti della sua infrastruttura cloud su entrambi i nodi di Roma e Milano. Malfunzionamenti causati da un attacco ransomware, abbastanza ampio da colpire tutte le macchine virtuali ospitate nei centri di Roma e Milano (circa 1.500) impedendone la funzionalità. Comunque, Westpole ha deciso di bloccare del tutto l'attività dei data center, troppo compromessi.

Questo però ha bloccato anche i servizi dei clienti di Westpole, tra cui c'è PA Digitale SpA, società che fornisce servizi cloud a molte PA nazionali. Che quindi, a cascata, sono stati coinvolti. Problema in più: Westpole non ha brillato per trasparenza: l'impatto dell'attacco era tale da richiedere comunicazioni pubbliche, ma queste sono apparse solo l'11 dicembre da parte di PA Digitale e il 12 da parte di Westpole.

A quanto sembra la cifratura dei sistemi ha bloccato l'attività di Westpole ma non ha portato a una esfiltrazione di dati. Secondo quanto dichiara Westpole stessa (ma lo racconta PA Digitale) "I firewall non hanno evidenziato, né durante il periodo di esecuzione dell’attacco, né durante i giorni precedenti, alcun traffico riconducibile alla esfiltrazione di dati. Per tutti i servizi che prevedevano l’utilizzo di una componente repository di tipo NAS, i dati non risultano essere compromessi, e, allo stato attuale delle analisi, non risultano accessi dell’utenza compromessa o di altre utenze sospette o non coerenti con il normale utilizzo di business delle applicazioni nei giorni precedenti all’attacco".

Ma la possibilità rimane, sempre secondo le dichiarazioni di Westpole: "Sulla base delle evidenze riportate e disponibili allo stato attuale, da confermare e arricchire attraverso analisi forensi più approfondite, riteniamo poco probabile l’esfiltrazione dei dati da parte dell’attaccante, evidentemente interessato al blocco dell’infrastruttura, non al contenuto dei dati, di tipo indifferenziato, presenti sui nostri repository e all’interno delle circa 1.500 macchine virtuali in essa presenti".

Westpole ha messo offline i propri sistemi come misura di contenimento prima e precauzionale poi, assicurando ai clienti la "reinstallazione da zero dell’infrastruttura virtuale e dei sistemi operativi", il problema è che ad oggi la questione non sembra ancora risolta e l'ultima comunicazione piubblica di Westpole è del 15 dicembre.

Non stupisce quindi che Gruppo Dylog e Buffetti - altri clienti di Westpole come la "cugina" PA Digitale SpA - abbiano dichiarato che il ripristino dei loro applicativi e delle basi dati sta proseguendo "non solo con l’ottica di ripristinare le funzionalità su ambienti Westpole ma anche definendo politiche di selezione alternativa di fornitori, per modo da garantire i più alti livelli di affidabilità e continuità operativa" . In questo senso è stata tra l'altro accelerata la migrazione dei servizi critici su Microsoft Azure.

Insomma, la rivendicazione di Lockbit aggiunge in fondo poco a una vicenda che è ancora molto da definire. Soprattutto per capire come un attacco ransomware possa cogliere di sorpresa una filiera che parte da un singolo bersaglio - Westpole - ma travolge tutto un ecosistema di PA.