Hacker, scade l’ultimatum "Ma i dati ora sono salvi"

di Luca Bolognini

Gli investigatori stanno seguendo l’odore di cipolla. Gli hacker che hanno attaccato la Regione Lazio avrebbero lasciato un piccolo indizio che, se confermato, potrebbe rivelare quale gruppo ha orchestrato il raid informatico. Tutto parte dal link inviato dai pirati informatici, che ha ‘Onion’ (cipolla in inglese) come pseudo-dominio di primo livello. Si tratta di un un indirizzo raggiungibile solo attraverso Tor, un software – semplificando molto – che permette di navigare nel dark web. L’analisi di questa stringa avrebbe permesso di individuare anche la cyber-gang che ha sferrato l’attacco. Secondo BleepingComputer, sito specializzato in temi legati alla sicurezza informatica, si tratterebbe di RansomEXX. I criminali russi hanno creato un malware omonimo, che è in grado di copiare e cifrare i dati delle Reti attaccate. L’anno scorso il ministero dei Trasporti del Texas, il ministero della Giustizia brasiliano e l’azienda privata Konica Minolta sono stati tra le vittime di questa cyber-gang.

E mercoledì quel link per iniziare una trattativa con gli hacker è stato aperto. Non si sa da chi (ma molto probabilmente l’azione è stata concertata con la polizia postale), né per quale motivo. Subito dopo il clic è scattato un countdown che terminerà domani pomeriggio. In questo tipo di ricatti il primo conto alla rovescia solitamente viene azionato per tentare di chiudere la trattativa senza dare troppa pubblicità al caso. La minaccia, se non viene subito pagata la cifra richiesta, è quella di far scattare un secondo countdown pubblico (solitamente più lungo), sul sito di RansomEXX. Se il tempo verrà lasciato scadere, l’intero contenuto di dati copiati e cifrati verrà pubblicato. Ad esempio il colosso energetico Erg, attaccato nei giorni scorsi, è già in questa seconda fase e all’esaurimento della clessidra digitale mancano appena otto giorni. Ieri pomeriggio gli investigatori sono riusciti a estrarre dai server bloccati le copie di sicurezza. L’ultimo backup risale al 30 di luglio. Questi file, a una prima analisi, non sarebbero stati toccati dall’attacco. Un’ottima notizia per quanto riguarda il ripristino della funzionalità delle piattaforme danneggiate – ieri tra l’altro è stato riattivato il sito per prenotare gli appuntamenti per il vaccino anti Covid e il governatore Nicola Zingaretti ha assicurato che entro settembre torneranno a pieno regime anche tutti gli altri servizi congelati dal raid – ma che non risolve il problema delle informazioni copiate.

La Polizia postale, nel frattempo, sta cercando di ricostruire gli indirizzi Ip (il numero univoco che identifica un computer collegato alla Rete) da cui è partito il raid. Sotto la lente ci sono i file di log (il registro delle attività) delle macchine attaccate, che sono stati acquisiti nei giorni scorsi. La certezza è che gli hacker hanno operato dall’estero, facendo rimbalzare i dati dalla Germania.

Ha invece smentito qualsiasi coinvolgimento con il raid informatico laziale Engineering Spa. "Non abbiamo ricevuto alcuna notifica da parte degli inquirenti rispetto a possibili collegamenti tra l’evento bloccato sul nascere che ha interessato il gruppo e l’attacco alla Regione Lazio. Inoltre – così si legge sulla nota – non forniamo servizi di infrastruttura o di sicurezza alla Regione Lazio, che si appoggia per questo ad altri operatori".