ESTORSIONE A MEZZO RANSOMWARE - GLI HACKER CHE HANNO ATTACCATO LA REGIONE LAZIO HANNO FATTO PARTIRE IL CONTO ALLA ROVESCIA: ABBIAMO 72 ORE DI TEMPO PER DARE SEGUITO ALLA TRATTATIVA (FINO A SABATO), POI NON SI SA COSA SUCCEDERA' - IL RISCHIO E' QUELLO DI PERDERE TUTTI I DATI, ANCHE QUELLI DELL'UNICO BACKUP DI RETE FATTO DALLA REGIONE - LA CERTEZZA E' CHE IL VIRUS E' PENETRATO DAL COMPUTER DI UN DIPENDENTE DI LAZIOCREA IN SMART WORKING...
Valentina Errante per "il Messaggero"
Mancava la doppia password di autenticazione e con molta probabilità la chiave, per quell'unico livello di accesso e riconoscimento previsto dal sistema, era memorizzata. Al momento, un solo dato è certo: la porta di ingresso dei criminali informatici al cuore virtuale della Regione Lazio, è stato il pc di un funzionario, in smart working dalla sua casa di Frosinone.
Il dipendente di Lazio Crea, società in house della Regione, non è ancora stato interrogato dalla polizia postale, impegnata da giorni nell'impresa titanica di decriptare i codici di numeri e sillabe che hanno sostituito con numeri e sillabe tutte le informazioni contenute nel Centro elaborazione dati dell'amministrazione. Operazione alla quale stanno collaborando anche la nostra intelligence, Fbi ed Europool.
Al momento non sembra esserci soluzione alla decifrazione dei dati. I criminali informatici hanno invitato il Lazio a una trattativa attraverso un link. L'intenzione manifesta è di non cedere a una richiesta di riscatto. Ma ieri, dalla pagina con la quale gli hacker invitavano alla trattativa su un riscatto in cambio della chiave di decriptazione, si sarebbe attivato un countdown di 72 ore. Dopo le quali, se non fosse dato seguito alla mediazione, non si sa cosa accadrà e se tutti i dati dell'amministrazione, che sono criptati, saranno cancellati o venduti sul dark web.
LA CHIAVE DI ACCESSO Quando domenica gli esperti della polizia postale hanno individuato la porta d'ingresso di Ransom Exx, il virus che ha criptato tutte le informazioni, probabilmente copiando i dati, l'uomo, che è uno degli amministratore della rete, ha detto ai colleghi di avere sempre rispettato tutti i protocolli previsti. Ma probabilmente è in quei protocolli la falla.
Non si sa ancora se il virus sia arrivato attraverso un sito sul quale il dipendente di Lazio Crea è andato a finire navigando in rete, mentre era collegato con il Vpn, ossia la rete virtuale riservata e privata attraverso il quale un computer è connesso a un sistema chiuso. O se alla postazione, nella notte tra il 3 luglio e il primo agosto, ci fosse suo figlio o un familiare.
Di certo la porta della Regione era aperta, forse la password era memorizzata e, come ha rilevato la Postale, per il Vpn non erano previsti due passaggi di identificazione. Misura prevista dalle basilari norme di sicurezza. Il virus sembra possa arrivare dalla Russia, ma sono solo ipotesi: l'Ip può rimbalzare su server che si trovano in altri paesi rispetto alla reale posizione degli hacker.
ALTRI ATTACCHI Non trova al momento conferma, invece, l'ipotesi che l'attacco degli hacker sia collegato a quello, molto meno pesante, subito da Engineriing spa, il colosso specializzato nello sviluppo di Software con il quale Lazio Crea ha un contratto. Le cui credenziali sarebbero state vendute sul web per 30mila euro in bitcoin la notte del 30 luglio, poco più di 24 ore prima dell'attacco al Ced del Lazio, e che avrebbe consentito anche l'ingresso al sistema del colosso del petrolio Erg, che in effetti ha subito un'aggressione informatica, anche se contenuta, e a quello di una grossa spa delle costruzioni.
Secondo le informazioni della rete, i dati sottratti a Erg potrebbero essere diffusi dai pirati informatici il prossimo 14 agosto. Ma i virus che hanno aggredito le altre società sono diversi rispetto a quello che ha infettato il sistema della Regione.
LA POLEMICA Mentre gli esperti di Fbi, Europol e polizia postale tentano di trovare la chiave di decriptazione, sfruttando l'esperienza di altri attacchi avvenuti con ransomware cryptolocker, alla Regione è entrata in azione il Cyber Crisis management team, del quale fanno parte anche i tecnici di Leonardo.
Sullo sfondo una sottile polemica dopo le dichiarazioni dell'assessore alla Sanità del Lazio Alessio D'Amato che, nel primo pomeriggio ha messo in risalto l'intervento degli esperti della società, che fa capo anche al ministero dell'Ecomomia, sottolineando come da due anni Leonardo fosse supervisore per la cyber di Lazio Crea.
Un'affermazione alla quale il colosso dell'aerospazio ha replicato a stretto giro: «Leonardo non ha mai avuto la gestione operativa dei servizi di monitoraggio e di protezione cyber di Laziocrea». Intanto il consiglio del Notariato che ha subito un furto di dati la scorsa primavera precisa che non si è trattato di un attacco di hacker.
Dal Corriere.it
Qualcuno ha attivato nella giornata di mercoledì il conto alla rovescia nella richiesta di riscatto inviata dagli hacker che domenica notte hanno paralizzato tutte le attività della Regione Lazio gestite dal sistema informatico con un ransomware. È quanto è emerso nel corso del pomeriggio, rimbalzato dall’edizione del Tg1 delle 20. Nella comunicazione informatica contenuta nello stesso malware che ha creato danni enormi non alla rete sanitaria regionale, e di conseguenza alla campagna vaccinale, sarebbe contenuto anche un ultimatum di 72 ore, quindi entro la giornata di sabato prossimo, passato il quale non è chiaro cosa potrebbe accadere.
Si teme che in questo modo si possano perdere definitivamente tutti i dati cifrati dagli incursori, anche quelli dell’unico backup di rete fatto dalla Regione Lazio che si è trovata in pratica senza copie dell’enorme database violato dopo aver clonato le credenziali di un amministratore di sistema residente a Frosinone che stava utilizzando il pc aziendale in smart working per scopi privati.
Non si esclude tuttavia che ad attivare la richiesta di riscatto sia stato proprio il meccanismo interno al malware, che in mancanza di una risposta da parte delle vittime, fa partire il conto alla rovescia per costringerle a prendere una decisione in un tempo prestabilito. Le indagini della Postale proseguono intanto a tutto campo per chiarire anche questo aspetto dell’intricata vicenda cominciata domenica notte con il blitz degli hacker nel sistema Ced della Regione, nella palazzina C della sede in via Cristoforo Colombo.
Ma a lasciare perplessi è il contenuto del messaggio fatto trovare nel virus che comincia con un amichevole «Hello Lazio!», che potrebbe dimostrare una scarsa conoscenza dell’obiettivo colpito - e anche la portata di quello che è stato colpito - visto che si tratta della Regione e non di un’azienda privata. In più il messaggio è tutto in inglese: «I vostri file sono criptati, non provate a modificare o rinominare nessuno di essi perché potrebbe subentrare una perdita di dati piuttosto seria. Qui sotto c’è il vostro link riservato con tutte le informazioni su questo evento (usate la piattaforma Tor) - quella che immette nel torbido mondo del dark web - e non divulgare questo link per mantenere riservato quello che sta accadendo».
