“SONO IN UN TRITACARNE” - IL 61ENNE DIPENDENTE DELLA REGIONE LAZIO A CUI HANNO BUCATO L’ACCOUNT È IN OSPEDALE: DOPO ESSERE STATO SENTITO DALLA POSTALE E DAL CNAIPIC E AVER PARLATO CON IL CAPO UFFICIO, HA AVVERTITO UN DOLORE AL PETTO E ORA È RICOVERATO ALL’OSPEDALE DI FROSINONE – INTANTO IERI SERA ALLE 23 È FINITO IL COUNTDOWN DEI CRIMINALI: SI ASPETTA LA MOSSA DEGLI HACKER CHE…
Valentina Errante e Aldo Simoni per “Il Messaggero”
Il countdown è scaduto ieri sera alle 23. E per tutta la notte i tecnici della postale hanno sorvegliato il dark web, per verificare se i dati sottratti alla Regione durante l'aggressione siano in vendita o disponili. L'ultimatum dei cyber criminali, generato in automatico dal ransomware, il virus che chiede anche il riscatto, era chiaro: non chiamate la polizia e non tentate di intervenire sul sistema, i file potrebbero essere cancellati. L'orologio a margine della schermata segnava il tempo rimasto, contando anche i secondi.
Fino alle 23 del 6 agosto. Ieri, intanto, Nicola B., il dipendente di 61 anni della Regione Lazio, che attraverso il suo account ha aperto le porte del Ced del Lazio agli hacker, è stato sentito dagli uomini della postale e del Cnaipic (La centrale contro il crimine informatico) per tre ore. Ha negato di essersi collegato con siti pericolosi e anche che altri familiari avessero accesso al computer. E' apparso tranquillo, ma, poi, quando è stato chiamato dal suo capo ufficio, ha iniziato a sentire il cuore che andava all'impazzata: «Sono in un tritacarne», ha detto, mentre avvertiva un dolore acuto al petto. Adesso è ricoverato all'ospedale di Frosinone. Il suo pc, in queste ore, viene passato ai raggi x. Si va indietro, si cercano tracce. A ritroso, attraverso i link, i siti e gli indirizzi Ip che si sono collegati al computer.
NICOLA ZINGARETTI - CONFERENZA STAMPA SU ATTACCO HACKER
L'INTERROGATORIO L'impiegato, che lavora nell'Area Enti Locali, ha ripercorso davanti alla polizia, minuto per minuto, il lavoro svolto al computer tra sabato e domenica. «Stando a casa - ha detto - mi capita spesso di lavorare anche di notte, tra le 2 e le 3. Magari mi sveglio e comincio a smaltire le pratiche o ad anticipare il lavoro. La notte tra sabato e domenica ero a casa da solo con mia moglie. Mio figlio era al mare e, tra l'altro, non conosce nemmeno la mia password. Il computer era spento e avevo spento anche la ciabatta. Domenica, primo agosto, ho usato il pc, poi, intorno alle 19.30, ho chiuso tutto».
LA RIVENDICAZIONE Adesso ci si aspetta una mossa dagli hacker, che avevano invitato l'amministratore dell'azienda a contattarli: «Nel caso tu non abbia il diritto di parlare a nome di questa azienda, non provare a contattarci. Qualsiasi contatto non autorizzato aumenterà l'importo del riscatto», si legge nella schermata comparsa dopo la prima comunicazione con la quale i cyber criminali avevano annunciato l'attacco e la criptazione del file.
Il messaggio continuava: «Possiamo condividere queste informazioni solo con la persona autorizzata. Queste misure sono necessarie per mantenere la piena riservatezza del nostro accordo». E ancora: «Puoi consultarti con qualcuno del tuo ufficio informatico, questo ci aiuterà ad evitare ogni futuro fraintendimento. I tuoi file sono stati criptati con la crittografia più recente. Ricorda che qualsiasi tentativo di modifica e tentativo di rinominare i file crittografati causerà un grave danno ai documenti». La trattativa prevedeva una prova: «Inviaci il tuo indirizzo email e carica uno dei file crittografati, quando il file verrà caricato, la cartella di caricamento sarà eliminata. Questo file verrà decifrato come prova, per dimostrarti la capacità di decriptare gli altri file. Non ti daremo un'altra possibilità di decifrare un file e lasciare email».
IL RISCATTO Il messaggio generato automaticamente dal virus continua: «Non provare nemmeno a imbrogliarci, ti contatteremo quando ci invierai un file prova. Dopo il pagamento, tutti tuoi dati verranno decriptati. Devi risponderci in un giorno altrimenti l'importo del riscatto verrà aumentato, ma avrai un'altra opportunità per caricare il file di test. Ti preghiamo di non contattarci tramite Gmail, Yahoo, Hotmail, Live, parliamo solo in inglese. La scelta migliore è Protonmail: i tuoi server di posta possono bloccare i nostri messaggi».
Infine, l'invito a non chiamare la polizia: «Attenzione non chiamare la polizia, perché bloccherà tutti i tuoi conti bancari per impedire il pagamento. E poiché tu non sarai nelle condizioni di pagare, tutti i tuoi messaggi crittografati andranno perduti. Tieni presente che hai un tempo limitato per prendere una decisione Quindi, hai una possibilità adesso. Se vuoi ripristinare i tuoi dati contattaci ora». Nessuno sarebbe stato contattato, i dati sono stati recuperati. E così, questa notte, gli hacker potrebbero davvero avere diffuso le informazioni rubate. La polizia postale è in allerta.
