“Hello Lazio! I vostri file sono stati criptati. Per favore non cercate di modificarli o rinominarli perché questo può causare una perdita dei dati e un malfunzionamento nel decriptaggio. Qui c’è il vostro link personale con tutte le informazioni che riguardano questo incidente. Non condividetelo se volete che resti riservato”. È la notte tra sabato e domenica e sui computer connessi al sistema informatico del Lazio appare questo messaggio. Caratteri bianchi su sfondo nero. Il segnale che un gruppo di hacker ha appena finito il proprio lavoro: è entrato nella rete della Regione, ha copiato terabyte di dati e poi li ha coperti con un codice numerico inviolabile. L’unica chiave per salvare i file è dei pirati digitali.
Gli hacker bucano altri colossi. Da Erg a Engineering, le aziende private nel mirino
di
Lorenzo D’Albergo
,
Romina Marceca
03 Agosto 2021
Il loro Ip, il numero che ne identifica la provenienza fisica, porta in Russia. Ma per arrivare a Roma hanno fatto rimbalzare la loro identità virtuale prima in Austria, quindi in Germania. Infine a Frosinone, usando il pc di un dipendente in smartworking di Lazio Crea, la società partecipata che per conto della Regione si occupa della gestione del sistema informatico che tiene in piedi le attività del Lazio: dalla prenotazione dei vaccini anti-Covid a quella delle visite mediche, dal pagamento del bollo auto all’erogazione dei contributi pubblici alle aziende, va tutto in tilt.
Attacco hacker Regione Lazio, “Sono entrati nella rete due mesi fa” la porta d’ingresso, un pc a Frosinone
di
Lorenzo D’Albergo
,
Romina Marceca
03 Agosto 2021
Il resto è cronaca: il governatore Nicola Zingaretti denuncia un attacco “terroristico”, la procura di Roma conferma la tesi affidando il fascicolo inizialmente aperto per accesso abusivo a sistemi informatici e tentata estorsione anche ai pm del pool antiterrorismo, la polizia postale si imbarca in un’inchiesta complicatissima mettendo a disposizione del procuratore Michele Prestipino i suoi migliori uomini.[[ge:rep-locali:rep-roma:312889505]]
Tecnici preparatissimi, in grado di ricostruire le fasi dell’attacco alla Regione sin dalle prime battute. Proprio come le fonti che hanno rivelato a Repubblica alcuni degli snodi fondamentali dell’assalto che ha mandato al tappeto il Lazio. Un piano d’offesa programmato nel tempo, da almeno due mesi, e poi esploso in tutta la sua virulenza nel giro di poche ore. Una ricostruzione sul tavolo, sin dal primo momento, sul tavolo degli investigatori. Che stanno cercando conferme con molta fatica, però: come spesso accade in questi casi, ogni traccia è stata cancellata. Dunque è difficilissimo ricostruire la catena dell’attacco.
L’accelerazione arriva venerdì sera. Sul dark web si diffonde una voce: sta per succedere qualcosa di grosso. Bisogna attendere soltanto qualche minuto dopo la mezzanotte. All’una e 33 minuti è Eastfarmer, un utente di un forum per hacker, a postare un annuncio in grado di catturare l’attenzione di molti dei suoi colleghi: in vendita c’è l’accesso a una big tra le imprese che offrono servizi informatici a gran parte della pubblica amministrazione italiana, la Engineering Spa. “Guadagna 1,6 miliardi l’anno. È stata contattata anche da grandi imprese internazionali”, aggiunge Eastfarmer. Per poi fissare il prezzo: chi è interessato alle chiavi – che sarebbero state rubate da alcuni server piazzati in Sardegna – si prepari a pagare 30 mila euro in bitcoin. Se poi nessuno si dovesse fare avanti entro 4 giorni, “cancellerò tutto e ci penserò io”.
“E’ vero” racconta a Repubblica Paolo Pandozy, ad della multinazionale. “La notizia è arrivata venerdì sera. Mi hanno detto che c’era un tentativo di intrusione nei nostri sistemi che proveniva da un indirizzo Ip che fa parte di una lista di sospetti che aggiorniamo continuamente. Vista la tipologia di attacco, potenzialmente molto pericoloso, abbiamo deciso di chiudere tutto per il weekend ed elevare i livelli di sicurezza della nostra infrastruttura. Per esempio azzerando tutte le password”. La convinzione degli investigatori è, però, che l’annuncio messo in rete dagli hacker abbia trovato più di un acquirente. E che, proprio da lì, sia partito l’attacco che ha travolto la regione di Zingaretti e non solo. Come ha detto al Copasir la ministra dell’Interno, Luciana Lamorgese, a questo punto nessuno può stare tranquillo: “Le reti italiane sono obsolete. Rischiano anche altre amministrazioni pubbliche”. Tanto per dire, tra i clienti di Engineering ci sono il comune di Milano, la Lombardia (già attaccata tre anni fa dagli hacker) e il Veneto. Poi, come ricordava il pirata Eastfarmer, anche diverse grandi imprese. Un mix in cui American Express incontra il ministero della Giustizia, spuntano Inps e Inail, c’è anche la Polizia.
Attacco hacker Regione Lazio, tempi d’attesa e alternative: come sopravvivere ai disagi
03 Agosto 2021
Insomma, un gran calderone virtuale. Così, oltre al Lazio, nelle ultime ore sono state attaccate anche Salini, tra le più importanti società edili a livello italiano ed europeo, ed Erg, gigante del mercato energetico. Il sistema informatico della prima impresa, fresco di ristrutturazione, ha retto. Il secondo no. Il contenuto degli archivi di Erg ha fatto la stessa fine di quello della Regione: è stato copiato e criptato. Come? Attraverso un ransomware, un programma che i programmatori affittano di volta in volta agli hacker interessati sul dark web e permette loro di infiltrarsi nelle reti delle prede per poi chiedere un riscatto (ransom). Roba da pirati. Questione di soldi. Da una parte utili a foraggiare i prossimi attacchi della cyber criminalità. Dall’altra necessari per liberare i dati catturati.
Attacco hacker al Lazio. I Green Pass lumaca e la Caporetto del Cup, sanità in ginocchio
di
Arianna Di Cori
02 Agosto 2021
Per il Lazio è sceso in campo RansomEXX, per Erg gli specialisti di LockBit 2.0. Contattati in chat, i creatori del ransomware ci confermano l’attacco: “Sì, per attaccare Erg siamo passati per Engineering Spa”. Egeneering invece dice che è impossibile: “L’attacco è stato respinto. Non c’è stata alcuna intrusione. In ogni caso noi abbiamo informato i nostri clienti”. Ora l’azienda finita nel mirino dei criminali ha poco più di 9 giorni per pagare il riscatto, pena la libera pubblicazione sul web oscuro del database appena trafugato. Il conto alla rovescia è partito. Lo stesso potrebbe accadere presto anche per il Lazio, che non cliccando sul link fornito dagli hacker ha di fatto disatteso le loro aspettative una prima volta.
Il sistema di solito funziona così. La trattativa parte con una richiesta economica per decriptare i file. In caso di silenzio o rifiuto della vittima, parte il countdown pubblico. Per la serie: “Pagate o pubblichiamo tutto”. Per ora la Regione non ha ancora subito la seconda minaccia. Segno che potrebbe essere stato aperto un canale con i pirati. Oppure, al contrario, che i criminali stiano solo godendosi il battage mediatico rimediato con l’attacco per poi sferrare l’ultimo schiaffo al Lazio. Che, come detto, non è solo.
Attacco hacker alla Regione Lazio. Ricette mediche, diete, stipendi: ecco cosa rubano i pirati del web
di
Lorenzo D’Albergo
03 Agosto 2021
Sull’attacco nel Lazio, gli investigatori sono convinti che tutto sia partito da Frosinone. Da lì, dal computer lasciato acceso per un’intera notte da uno sviluppatore a cui Lazio Crea avrebbe affidato l’account con l’accesso al sistema della pubblica amministrazione regionale, è partito il patatrac. “Un gioco da ragazzi – ragiona una fonte con Repubblica – sono macchine configurate male. Siamo messi male dal punto di vista della sicurezza. Il Lazio? Non si ripara. I dati sono persi. Possono reinstallare l’intero sistema. Ma se non hanno un backup, se l’ultima copia dei file è vecchia… o hanno cento server pronti oppure prendono quello che è ancora sano e lo risistemano e pian piano ripristinano i servizi. I dati ormai sono pubblici. Gli hacker hanno copiato e poi cifrato tutto”.
Tutto, appunto. “Nessuno ha i log (il registro dei movimenti dei pirati, ndr) per dire cosa abbiano preso e cosa no. Vedremo. L’obiettivo è prendere i dati, per poi cifrarli e chiedere i soldi. Quelle informazioni hanno valore economico. Sulla cyber sicurezza continuiamo soltanto a sprecare risorse”, conclude la fonte. Che poi traccia per un’ultima volta il percorso dei criminali: “Nasce tutto dai sistemisti del datacenter in Sardegna, preso in affitto da Tiscali. Sono partiti da lì, hanno preso le credenziali e poi hanno attaccato in questo ordine: Erg, Salini e infine il Lazio”. Bloccando la regione che ospita la capitale e le prenotazioni della campagna vaccinale.
English
Arabic
Chinese (Simplified)
Dutch
French
German
Italian
Portuguese
Russian
Spanish