La buona notizia è che in Lazio tutto ripartirà entro agosto: i dati sono stati ripristinati tramite un backup. L’ha detto la stessa Regione: non erano criptati come gli altri dal ransomware che ha colpito il datacenter, ma solo cancellati e i tecnici hanno dovuto lavorare per giorni per riuscire a recuperarli, come spiegato a Italian Tech da Vittorio Gallinella, direttore di LazioCrea e responsabile del tema sicurezza in Regione.

Storia plausibile, dice Paolo dal Checco, ingegnere forense e tra i massimi esperti del tema: “Può succedere che i dati siano solo cancellati, anche se di solito i ransomware riescono a criptare anche i backup”.

Plausibile, ma che lascia perplessi numerosi tecnici, in particolare su Twitter e su chat dedicate alla security su Telegram: Matteo Flora si è per esempio detto scettico rispetto all’annuncio del ritrovamento dei dati (presentato per la prima volta ieri sera da Corrado Giustozzi, che lavora sul caso e finora avrebbe sempre parlato autorizzato dalla Regione), ma “sarà facile vedere se hanno pagato o meno il riscatto. Se non escono i dati, hanno pagato”.

Insomma, il sospetto è che i dati siano stati recuperati perché la Regione ha pagato il riscatto, ipotesi fin dall’inizio scartata anche dal governo. Comunque, la piattaforma vaccinale è già tornata online perché i dati sanitari non sono mai stati criptati (erano altrove, al sicuro, ha detto sempre la Regione).

L'attacco alla Regione Lazio è partito dal pc di un dipendente in smartworking

di Arturo Di Corinto, Bruno Ruffilli 03 Agosto 2021

Il backup
“Il backup è avvenuto in automatico su un sistema Virtual Tape Library, che simula lo storage su nastro”, ci ha detto Gallinella.

Spiega dal Checco: “I dati del backup di solito sono meno facilmente criptabili perché sono su dispositivi e sistemi diversi da quelli dove è entrato il ransomware. A volte i criminali non riescono ad accedervi, in particolare se le regole del backup impediscono queste azioni. E quindi si limitano a cancellare il backup”. In questo caso è stata una cancellazione più una reinstallazione duplice del sistema (come ha detto Giustozzi) nel tentativo di non rendere disponibili i dati.

La Regione li ha trovati però a un livello più basso, nel senso che erano fisicamente presenti sui dischi. Un lungo lavoro di ripristino, partendo da queste deboli tracce presenti, ha permesso il recupero. Non deve sorprende nemmeno che la Regione abbiamo impiegato tanti giorni prima di ritrovare il backup: "Abbiamo avuto la certezza di avere i dati solo quando è terminata l’attività di data carving, che essendo particolarmente complicata ha richiesto 50 ore", ha spiegato ancora Gallinella.

“In questi casi per i primi giorni non si fa analisi dei dati, ma solo copia forense, per acquisire la prova del reato e cristallizzarla. Non si prova a vedere se c’è ancora qualche dato disponibile”, ci ha detto ancora dal Checco. E poi, spiegano dalla Regione, i tecnici volvevano essere sicuri che i sistemi fossero stati puliti dal ransomware prima di intervenire.

“Bisogna sapere che ormai questi ransomware non agiscono più in modo del tutto automatico – ha detto ancora dal Checco - Dietro ci sono persone che entrano nei sistemi, vedono cosa fare, cosa criptare. E possono decidere se cancellare qualcosa non riuscendo a criptarla. O anche compiere azioni non razionali”.

Resta inspiegabile perché l’assessore regionale alla Sanità abbia detto pubblicamente che il backup era cifrato: forse si era sbagliato? A riguardo, la Regione Lazio non ha ancora risposto a Italian Tech.

Un punto aperto è anche se tutti i dati siano stati in effetti recuperati in modo integrale: di solito, come dice Alberto Pelliccione di Reaqta, i recuperi a basso livello non riescono al 100%, c’è spesso qualche dato corrotto o che si perde. Secondo Gallinella, "le analisi sono ancora in corso, ma sembrerebbe che i dati siano stati recuperati totalmente”.

Cybersecurity

Caso Regione Lazio (ed Erg), il punto sulle indagini: lo scacco del ransomware all’Italia

di Alessandro Longo 04 Agosto 2021

I dati sono stati rubati?
Come detto da Flora, l’altro punto che desta domande è se c’è stato furto (esfiltrazione) dei dati. Di solito le gang del ransomware lo fanno, per poi ricattare la vittima o per rivendersi i dati.

Anche Ransomexx, la gang presumibilmente russa che ha colpito con l’omonimo ransomware la Regione, di solito fa così. Perché stavolta non dovrebbe averlo fatto? La Regione non ha comunicato questa eventualità e non si trovano ancora dati riconducibili a loro, sul Dark Web.

Quel che è certo è che la storia non finisce qui, anche perché si attende la chiusura dell’indagine del garante della Privacy, che potrebbe sanzionare la Regione per quanto avvenuto alla luce della normativa europea.