Pare che alla Regione Lazio siano infine riusciti, alla fine a recuperare i dati e a rimettere i dati ed i servizi online.
Bisogna fare i complimenti a chi si è impegnato a tornare on line poiché ha svolto un lavoro titanico, che ha richiesto mezzi e grandi capacità, ma le notizie apparse sulla stampa non sono del tutto corrette.
Proviamo a ricostruire tutta la vicenda per capirne i contorni: l’attacco subìto dalla Regione non è partito dal click su una mail infetta, ma è iniziato da molto lontano ed ha coinvolto la struttura di supporto della Regione.
Gli attaccanti non avevano come obiettivo la Regione Lazio, ma i service provider che forniscono gli strumenti di supporto a chi gestisce i sistemi informatici regionali: in questo modo è stato possibile attaccare i clienti della struttura di supporto, tra cui la Regione.
Sembra inoltre, il condizionale è d’obbligo, dal momento che le indagini da parte della Polizia Postale ancora in corso e le notizie vengono pubblicate in maniera lenta e frammentaria, che il ransomware che ha sferrato l’attacco non fosse solo uno, poiché è possibile che l’autore dell’intrusione abbia rivenduto a terzi l’accesso alla struttura compromessa in via non esclusiva.
Ecco perchè in un primo momento sembrava che il ransomware utilizzato fosse Lockbit, mentre dalle successive notizie si è appreso che invece è stato utilizzato RansomEx: entrambi i sistemi richiedono un riscatto per lo sblocco dei dati.
Questo tipo di comportamento è ormai frequente nelle organizzazioni criminali: c’è chi svolge il lavoro di introdursi nei sistemi altrui, chi si dedica ad esplorare ed identificare le risorse, chi ruba i dati e li rivende e chi cifra i dati per richiedere il riscatto, ognuno con il proprio tornaconto, le proprie capacità ed i propri mezzi.
Gruppi criminali diversi, slegati tra loro, con obiettivi diversi ed indipendenti tra loro, rendono la loro identificazione ancora più complessa e per questo ai limiti del possibile.
Una cosa è certa, un lavoro così complesso richiede molto tempo, pertanto l’attacco è partito alcuni mesi fa con l’intrusione, da cui è partito il movimento laterale che ha consentito di capire come è fatta la rete, dove si trovano le copie di backup e quali difese si trovano all’interno del network-vittima.
La Regione Lazio ha fatto sapere di non aver pagato alcun riscatto, e certamente è così, vedremo se le forze messe in campo, Polizia Postale ed Agenzia per la Cybersecurity di recente costituzione saranno in grado di identificare i colpevoli e di portarli a rispondere dei reati. Nel frattempo, anche zegna.com della nota firma di moda Ermenegildo Zegna è stato violato …
Come proteggersi dunque? La creazione di un backup “fuori linea” diventa imprescindibile poiché rappresenta l’ultima spiaggia a cui aggrapparsi se i criminali sono riusciti come nel caso della Regione Lazio ad accedere ai dati di backup, ma occorre anche la verifica periodica della riuscita delle copie.