I sospetti sui No vax e il riscatto in Bitcoin: cosa c’è dietro l’attacco hacker al sito della Regione Lazio
La richiesta di riscatto per il sito della Regione Lazio sotto attacco hacker è arrivata ieri sera. E questo allontana di fatto i sospetti della prima ora su una mano No vax dietro il ransomware che ha paralizzato il sistema informatico di via della Pisana compresa la piattaforma per le prenotazioni dei vaccini, proprio nel giorno in cui la campagna vaccinale annunciava l’immunizzazione del 70% della popolazione. Per la procura di Roma quindi potrebbe esserci un “semplice” accesso abusivo a un sistema informatico con annessa tentata estorsione dietro il terzo attacco al sistema sanitario italiano dopo quelli dello scorso anno al San Raffaele di Milano e all’Istituto Spallanzani di Roma. Intanto però indaga anche il Nucleo Sicurezza Cibernetica che dipende dal Dis e scende in campo anche il Copasir.
I fatti dall’inizio. Subito dopo la mezzanotte del primo agosto, il Centro Elaborazione Dati (CED) di Regione Lazio è finito offline a causa di un virus cibernetico che ha colpito i sistemi informatici, che per motivi di sicurezza sono stati disattivati. Il virus è tra i più feroci ransomware, il Cryptolocker, ed è stato inserito nel sistema dagli hacker rubando le credenziali di accesso di un profilo di Lazio Crea, la società che ha creato il sistema. Il Cryptolocker, scrive oggi la Repubblica, in pochi istanti ha preso il possesso dei computer, crackando le utenze più sensibili, compresa quella dell’assessore regionale alla Sanità Alessio D’Amato. La prima conseguenza è stata che ieri è diventato impossibile prenotare online la vaccinazione.
Dalla mattina si sono formate quindi lunghe code negli hub vaccinali e l’organizzazione ha reagito come ha potuto, ovvero trascrivendo a mano i dati dei vaccinandi su carta. Via della Pisana assicura che quando tutto tornerà a posto le anagrafiche verranno trasferite all’anagrafe vaccinale nazionale, per evitare ritardi nell’emissione del Green Pass. Intanto durante la giornata gli esperti hanno cercato di metterci una pezza. Ma ogni volta che dopo la pulizia venivano riattivate le macchine il problema si ripresentava senza soluzione di continuità. Il Corriere della Sera scrive che quello che ha subito Regione Lazio potrebbe essere un «crime as service», ovvero mercenari del dark web assoldati per mettere in crisi i sistemi di istituzioni pubbliche e aziende private con malware, link o mail trappola per immettere crypto locker in grado di rendere i dati inutilizzabili.
Intanto nel tardo pomeriggio è arrivata la richiesta di riscatto in bitcoin. Sulla quale però c’è perplessità da parte degli investigatori proprio per la tempistica con cui è giunta: dopo la circolazione della notizia, ovvero quando chiunque avrebbe potuto inventarne una. E non contestualmente all’attacco, come avviene di solito in questi casi. Le conseguenze dell’attacco le ha sofferte anche il bollettino sul Coronavirus della Regione, che ieri recava soltanto il numero di nuovi positivi e il tasso di occupazione dei posti letto negli ospedali. Ma dentro al sistema della Regione Lazio non ci sono soltanto i numeri delle vaccinazioni. Repubblica spiega che nel database sono presenti i dati del 70% degli abitanti di Roma e delle Province vicine. La loro anamnesi, la loro storia clinica, il loro stato di salute. Ma anche indirizzi, residenza, numeri di telefono, mail.
Oggi poi in un colloquio con Il Messaggero un investigatore semina qualche dubbio anche sulla finalità estorsiva: gli hacker sanno bene che le casse di un Ente pubblico locale non sono quelle degli oleodotti della Colonial Pipeline, ma sono vincolate da un deficit cronico e da contorsionismi amministrativi che non consentono esborsi non pianificati e in barba alle lungaggini burocratiche: «La finalità è prettamente vandalica e la crittografia delle informazioni è tecnica efficace forse più della loro cancellazione o distruzione: la percezione di un archivio sparito è immediata e i danni sono circoscritti, mentre un attacco semantico emula le formule tumorali con minore evidenza del male e progressiva diffusione delle cellule intaccate».
Cos’è un attacco ransomware e come funziona Cryptolocker
Il Corriere della Sera spiega oggi che un ransomware è una minaccia informatica che infetta un sistema e poi richiede il pagamento di un riscatto (ransom) per poter tornare a utilizzarlo. Tutti i file all’interno del sistema, che può essere un computer o un’intera rete di una o più aziende, vengono crittografati così da diventare illeggibili per il legittimo proprietario e il codice di sblocco viene dato solo previo pagamento. L’attacco si diffonde tramite un link o un allegato in una mail che vanno cliccati. Di solito sono di ottima fattura ed è difficile accorgersi della truffa.
Cryptolocker è una varietà di ransomware ideata nel 2013, che nel tempo si è evoluta diventando una vera e propria «famiglia». Il ransomware cripta i dati partendo da quelli meno utilizzati. In questo modo all’inizio l’utente non si accorge di nulla e continua a usare il computer. Poi riavvia la macchina, finisce di crittografare, e quando questo si riaccende, non compare più il sistema operativo ma la richiesta di riscatto. Per completarlo ci possono volere da una decina di minuti a delle ore. La schermata che compare alla fine del processo contiene le istruzioni per il pagamento. La valuta più utilizzata è il bitcoin a causa della sua complessa (e a volte impossibile) tracciabilità.