Attacco hacker Regione Lazio: stipendi dei dipendenti assicurati. Recuperati parzialmente i dati di back-up

La Regione Lazio cerca di tornare, con molta fatica, alla normalita’ dopo aver subito il più massiccio attacco hacker mai registrato prima in Italia. E’ stata riattivata la piattaforma di prenotazione vaccinale e torna operativa anche l’anagrafe vaccinale: sono state registrate in poche ore già 3.000 richieste.

Gli analisti informatici e gli investigatori, a quanto pare, sarebbero riusciti ad estrapolare dai server bloccati le copie di backup. La conferma direttamente da Zingaretti: “Possiamo annunciare che gli operatori sono riusciti ad accedere ai dati del backup, ultimo aggiornamento venerdi’ 30 luglio. Al momento stiamo verificando e analizzando la consistenza dei dati per ripristinare nel piu’ breve tempo possibile i servizi amministrativi e per i cittadini”.

I problemi restano, scrive l’Ansa, soprattutto nell’attivita’ interna all’Ente. In una nota indirizzata ai dipendenti si afferma che la rete aziendale “non e’ da considerarsi sicura” poiche’ “il virus potrebbe ancora diffondersi alle singole postazioni” e che e’ “possibile lavorare su una postazione aziendale a condizione che il pc venga scollegato fisicamente rimuovendo il cavo di rete e non collegandolo al Wi-Fi regionale qualora presente“.

La Regione Lazio conferma, comunque, che saranno rispettati i pagamenti sanitari di fornitori e stipendi e qualora fosse necessario sono gia’ garantiti i pagamenti straordinari. Sono salvi oltre ai dati sanitari anche quelli legati al bilancio regionale, al genio civile e ai fondi europei Fesr.

Sul fronte delle indagini l’attivita’ della Postale, coordinata dal Procura capitolina, punta a risalire agli autori del blitz telematico. L’obiettivo primario degli inquirenti e’ individuare l’Ip (l’internet Protocol address) da cui e’ partito il raid messo a segno carpendo le credenziali di un dipendente regionale di Frosinone. In questo ambito, prezioso potra’ risultare il sostegno degli specialisti di Fbi ed Europol. Il sospetto di chi indaga e’ che l’organizzazione possa essere la stessa che nel recente passato ha compiuto azioni simili, utilizzando ransomware cryptolocker, come quello ad un oleodotto americano nel maggio scorso. La certezza e’ che gli “attaccanti” abbiano operato dall’estero: l’ultimo “rimbalzo” e’ stato tracciato in Germania. La Postale sta analizzando i dati, sui file di log, acquisiti in questi giorni nella speranza che i pirati del web possano avere commesso errori e lasciato qualche traccia determinante alla loro individuazione. Emblematica la schermata nera inviata dai pirati con la quale hanno comunicato la loro azione. Non si tratta quindi della richiesta di riscatto ma solo uno step intermedio per potervi accedere tramite un programma “Tor”, nel dark web. Verifiche sono comunque in corso anche il relazione ad una sorta di conto alla rovescia per il pagamento, che dovrebbe scadere sabato.

I gruppi hacker più attivi nel mondo

I gruppi hacker più attivi hanno le loro basi operative in RussiaIran e Cina. Sensazionale è stato l’ultimo attacco hacker perpretato dal gruppo russo noto come REvil. L’azione è stata di tipo ransomware e ha colpito diverse aziende americane con il bloccaggio dei server, il furto dei dati o peggio con la compromissione delle chiavi di accesso. Il ritorno alla normalità avviene, di solito, solo dopo il pagamento di ingenti somme di denaro in cryptovaluta. Un metodo di pagamento impossibile da tracciare. Il più emblematico, l’attacco a maggio scorso nei confronti del più grande fornitore di carni degli Usa, la JBS, che per riavere le chiavi di accesso aziendali  ha dovuto pagare 11 milioni di dollari di “riscatto”.

L’attacco iraniano. Un gruppo di hacker, che gli analisti sostengono sia guidato dal governo iraniano, ha utilizzato falsi profili Gmail Facebook per penetrare i server di un appaltatore della difesa degli Stati Uniti. Un rapporto pubblicato ieri dalla società di sicurezza informatica californiana  Proofpoint ha identificato il gruppo di hacker responsabile degli attacchi: Threat Actor 456 (TA456).

Conosciuto anche come Imperial Kitten e Tortoiseshell, il TA456 secondo Proofpoint è tra i gruppi “più determinati” contro i nemici dell’Iran prendendo di mira industrie della difesa occidentali che commerciano in Medio Oriente.

L’operazione più recente di TA456 è avvenuta con uno stratagemma semplice ma efficace. Hanno inventato un profilo fittizio sotto il nome di “Marcy Flores“, una donna che viveva nella città britannica di Liverpool. Questa donna, con profilo google e Facebook opportunamente popolato con immagini che riprendevano la vita di una persona normale, ha contattato diversi i dipendenti impiegati nelle industrie della difesa degli Stati Uniti. Uno di questi dipendenti ha “abboccato” iniziando a “flirtare” con Flores su Facebook a partire dal 2019.

Nel giugno 2021, Flores ha mandato al suo “amante virtuale” un video che conteneva un link nascosto, un malware, noto come LEMPO, progettato per fornire agli hacker le copie dei file trovati sui sistemi penetrati. L’azione ha richiesto del tempo ma alla fine ha dato i suoi frutti.

Non a caso Facebook il mese scorso ha dichiarato di aver preso provvedimenti contro un gruppo di hacker in Iran al fine di interrompere la loro capacità di utilizzare la piattaforma social più famosa ed utilizzata al mondo.

Attacco hacker Regione Lazio: stipendi dei dipendenti assicurati. Recuperati parzialmente i dati di back-up