L'ATTACCO HACKER ALLA REGIONE LAZIO E' PARTITO DALL'ESTERO (FORSE DALL'EST EUROPA) ED E' STATO REALIZZATO DA CRIMINALI ESPERTI CHE PUNTAVANO A UN RISCATTO IN BITCOIN - I PIRATI INFORMATICI SONO ENTRATI ATTRAVERSO LE CREDENZIALI DI UN DIRIGENTE DI FROSINONE, VENDUTE SU UN SITO RUSSO - TUTTI I DATI DELLA REGIONE CHE NON ERANO AL SICURO SU SERVER FISICI, OSSIA IL DATABASE DELLA SANITÀ E DELLA PROTEZIONE CIVILE, COSÌ COME IL BILANCIO, POTREBBERO NON ESSERE RECUPERATI…
Valentina Errante Cristiana Mangani per "il Messaggero"
NICOLA ZINGARETTI - CONFERENZA STAMPA SU ATTACCO HACKER
Tutto perduto: tutti i dati della Regione che non si trovassero al sicuro su server fisici, ossia il database della sanità e della protezione civile, così come il bilancio, potrebbero non essere recuperati. Il malware inoculato nel sistema della Regione Lazio, entrato in azione nella notte tra sabato e domenica, ha criptato tutti gli altri dati dell'amministrazione, dei quali non era stato fatto un backup. E ora si sta lavorando a mano, per recuperare le informazioni sui vaccini, che non fossero già state trasferite alla struttura del Commissario straordinario Figliuolo.
EMOTET Tutto questo mentre il virus Emotet, considerato uno dei più potenti e già individuato in altri cyber attacchi anche negli Stati Uniti ma continuamente aggiornato dagli sviluppatori, sta rinnovando la sua azione dannosa. È per questa ragione che il sistema della Pisana non si può riavviare, perché ogni volta che si prova a riattivarlo, il virus mangia nuovi dati. E sarà così finché non verrà totalmente rimosso. Un'operazione non facile, vista la complessità del ransomware inoculato e che ha già costretto l'Italia a chiedere collaborazione agli esperti americani e israeliani.
Unica soluzione al momento sarebbe quella di avviare una trattativa per un eventuale riscatto, cosa che l'amministrazione regionale rifiuta totalmente. La Polizia postale e i servizi di intelligence - che già nei giorni scorsi avevano segnalato strani movimenti nel dark web -, avrebbero recuperato log, file, dati di traffico che permetteranno di approfondire i punti di accesso ancora aperti e risalire ai potenziali esecutori. Di certo si sa che l'azione è partita dall'estero e realizzata da criminali esperti che molto probabilmente hanno agito da qualche paese dell'Est, puntando a monetizzare l'attacco.
E si parla anche di credenziali del dirigente della società attraverso il quale è avvenuto l'accesso, vendute su un sito russo. Il sospetto, comunque, è che gli hacker possano aver agito per conto di entità statuali, e il timore è che altri enti e istituzioni possano essere prese di mira. L'accesso al Ced è avvenuto attraverso le credenziali Vpn di un amministratore della rete, un dirigente di Frosinone della società LazioCrea, che affianca la Regione nei servizi per attività tecnico amministrative e che ha la qualifica di amministratore della rete. Gli hacker sono entrati dal suo pc personale, hanno infestato il sistema e criptato i dati.
«Ho sempre rispettato tutti i protocolli di sicurezza, non ho commesso leggerezze», ha spiegato il dipendente ai tecnici e agli investigatori della Polizia postale. I sistemisti di LazioCrea hanno trovato un altro file che inizialmente non hanno osato aprire. All'interno c'è una pagina che permette di mettersi in contatto con gli hacker, per avviare un'eventuale trattativa sul riscatto in bitcoin, moneta non tracciabile. E per le proprie operazioni i criminali si appoggiano su vari server in diversi Paesi, uno di questi è la Germania, ma è solo un paese di transizione.
Se gli investigatori sono al lavoro per liberare milioni di file tenuti in ostaggio dai cybercriminali, i tecnici della Regione sono alle prese con la riattivazione dei servizi essenziali, per renderli operativi il prima possibile: l'unica soluzione per ora è la migrazione su cloud esterni, visto che al momento il sistema è spento per consentire una verifica interna, riaccenderlo esporrebbe al pericolo del virus. I terroristi hi-tech saranno aggirati con il ritorno al passato. Abitualmente i ransomware, il tipo di virus che ha attaccato il sistema, copia in automatico tutti i dati che ha a disposizione. Chiedendo un riscatto non solo per la decriptazione, ma estorcendo denaro anche per non diffondere le informazioni carpite che, in un caso come questo, potrebbero essere vendute sul dark web. Non è ancora chiaro se questo sia accaduto.
Al momento «non c'è evidenza che siano stati presi i dati sanitari delle persone - dice il capo della Polizia Postale Nunzia Ciardi sottolineando che questi si trovavano su un server diverso rispetto a quello attaccato dagli hacker - Comunque, era solo questione di tempo. Serve massima attenzione per la cyber sicurezza, in società digitalizzate come le nostre il rischio è altissimo». LE AUDIZIONI E domani il Copasir sentirà anche sull'attacco hacker in corso la direttrice del Dis Elisabetta Belloni e la ministra dell'Interno Luciana Lamorgese.
