MIRACOLO IN REGIONE LAZIO! I TECNICI HANNO RECUPERATO TUTTI I DATI CRIPTATI DAGLI HACKER, SONO ANCHE RIPARTITE LE PRENOTAZIONI DEI VACCINI - POLIZIA POSTALE, FBI E INTERPOL SONO RIUSCITI AD AGGIRARE IL RAMSONWARE E AD ESTRARRE DAI SERVER INFETTATI LE COPIE DI BACKUP - SI E' SCOPERTO CHE L'ATTACCO E' AVVENUTO IN DUE FASI E NON HA RIGUARDATO SOLO L'ACCOUNT DI UN DIPENDENTE REGIONALE DI FROSINONE, MA ANCHE QUELLO DI UN AMMINISTRATIVO - DOMANI SCADE L'ULTIMATUM DEI CYBERCRIMINALI, COSA SUCCEDERA' DOPO?...
Valentina Errante per "il Messaggero"
Sono circa le 14 quando avviene il miracolo: il back up dei dati criptati dall'attacco informatico al Centro elaborazione dati della Regione Lazio è salvo. L'assortita squadra fatta dagli uomini dell'Fbi e di Europol, dai tecnici della polizia postale, dagli esperti di Leonardo ha raggiunto il risultato insperato. Aggirare il ransomware, il virus (che include anche una richiesta di riscatto) che aveva criptato tutti i dati del sistema.
Il governatore Nicola Zingaretti lo annuncia poco dopo. Ripartono le prenotazioni dei vaccini (che in poche ore sono già tremila) e adesso la Regione Lazio tenterà di tornare alla normalità. La situazione resta complessa, ma i segnali sono incoraggianti. Gli esperti avrebbero recuperato tutti i dati memorizzati al 30 luglio, cioè 24 ore prima dell'attacco dei cyber criminali.
Sullo sfondo resta il giallo della trattativa e del riscatto, per ottenere la chiave di decriptazione, dal link attivato mercoledì sera, con un countdown che sarebbe scaduto domani alle 23. Quando i dati sottratti all'amministrazione potrebbero essere diffusi nel dark web.
Mentre emerge che l'attacco degli hacker è avvenuto in due fasi e non ha riguardato solo l'account di un dipendente regionale di Frosinone in smartworking, ma anche quello di un amministrativo.
IL BACKUP Secondo quanto riferito, dopo cinque giorni di lavoro ininterrotto, gli esperti sarebbero riusciti ad estrarre dai server infettati le copie di backup aggirando il virus e raggiungendo i dati del backup bloccati dal sistema infettato. «Stiamo verificando analizzando la consistenza dei dati per ripristinare nel più breve tempo possibile i servizi amministrativi e per i cittadini».
I tecnici sarebbero riusciti a creare un sistema identico a quello compromesso che prima gestiva le informazioni, nel quale hanno riversato il backup salvato in una macchina Vtl (virtual tape library) di ultima generazione. Sullo sfondo di una soluzione inattesa per tutti, restano alcuni nodi da sciogliere. Dall'attivazione del link dei pirati informatici, ai dati sottratti.
Dagli accertamenti è emerso che gli hacker, che hanno infettato il Ced della Regione Lazio, sono entrati nel sistema alle 20,42 del 31 luglio, attraverso il computer di un dipendente in smartworking a Frosinone. Ma, alle 22.40 dello stesso giorno, ci sarebbe stato un altro attacco, attraverso un account di tipo amministrativo, che avrebbe dato ai cyber criminali il potere di effettuare operazioni privilegiate, infettando il Ced.
Gli hacker avrebbero continuato agire per l'intera notte, fino alle 7,21 del 1 agosto. Le indagini sono ancora in corso, ma è emerso che il file trojan Enotet è penetrato almeno in 135 macchine, quelle rese inservibili, però, alla fine, sono state almeno 3000. Il nodo, però, riguarda i dati rubati: non si sa quali siano le informazioni sottratte, che possano ancora essere diffuse sul dark web in cambio di criptovaluta o utilizzate dagli hacker.
Si tratta del secondo step dell'attacco informatico, che, di prassi, viene messo in atto una settimana dopo l'aggressione come prima rivendicazione. Nella tempistica dell'attacco alla Regione Lazio la deadline è il 7 agosto.
IL CONTATTO Di fatto, nella pagina di rivendicazione, chi ha infettato il sistema con il ransom, come accade sempre, ha dato anche indicazioni per la mediazione, ossia per pagare un riscatto e ottenere la chiave di decriptazione dei dati. Un responsabile di Lazio Crea avrebbe dovuto collegarsi al link suggerito, lasciando un contatto email, attraverso un provider svizzero che cripta i messaggi, sulla rete Tor. Un network decentralizzato costituito da alcune migliaia di server sparsi in tutto il mondo.
Quel link si sarebbe reso attivo mercoledì sera. Non è chiaro se da solo o per mano di qualcuno, a meno di 24 ore dal recupero dei dati. I tecnici avrebbero trovato da soli la chiave, nonostante le loro stesse previsioni, e non avrebbero pagato un riscatto che, in base a un'analisi approssimativa, eseguita sulla mole di dati a rischio, ammontava a circa 5milioni di euro in bitcoin. La scadenza dell'ultimatum è domani. Bisognerà attendere. I pirati del web potrebbero ancora utilizzare i dati. Intanto, alla Regione è vietato usare il wifi.
