Piano con i festeggiamenti. L’emergenza ransomware della regione Lazio non è ancora finita. Se le indagini sono ancora in corso un motivo c’è.

I dati dei server di Lazio Crea sono stati recuperati grazie a un backup della Virtual Tape Library (Vtl) risalente al 30 luglio, il giorno prima dell’attacco tramite i ransomware Lockbit 2.0 e RansomEXX sferrato da un gruppo di cyber-criminali non ancora identificato.

Un sospiro di sollievo, i dati di 6 milioni di cittadini italiani sono stati recuperati e “senza pagamento di riscatto”, scrive su LinkedIn Corrado Giustozzi, tra i massimi esperti di cybersecurity in Italia. Eppure è presto per esultare. Perché una copia di quei dati potrebbe essere ancora in possesso dei “cracker”, i cyber-ricattatori. Nomi, cognomi, indirizzi, codici fiscali, un vero e proprio bottino digitale potrebbe finire in vendita sul dark web.

Questa l’ipotesi che ancora toglie il sonno a chi sta seguendo da vicino le indagini, tutt’altro che finite. Finora, confidano fonti investigative a Formiche.net, “non ci sono prove di un’avvenuta esfiltrazione delle informazioni da parte degli attaccanti”. L’ipotesi però rimane in campo, e apre scenari inquietanti.

Che succede se i dati trafugati diventano oggetto di una compravendita sul lato oscuro di internet? Parliamo di informazioni sensibili, alcune delle quali riguardano alte cariche dello Stato. Dopotutto questa era stata la prima minaccia degli hacker che hanno bucato i sistemi online della regione governata da Nicola Zingaretti entrando dal pc di un dipendente di Lazio Crea in smart working nella provincia di Frosinone.

Non solo “crittare” i dati presi in ostaggio, cioè renderli inutilizzabili, ma anche metterli all’asta. La più classica delle “doppie estorsioni” di un attacco ransomware, ha spiegato in una recente intervista a Formiche.net la direttrice della Polizia Postale Nunzia Ciardi: “Solitamente il pericolo è duplice: gli aggressori minacciano di rendere pubbliche le informazioni sensibili. Bilanci, corrispondenze, dati personali, segreti industriali raccolti durante le intrusioni nei sistemi operativi, a volte protratte per mesi”.

Il primo scenario, la cifratura dei dati del Lazio, è stato sventato grazie al provvidenziale backup di fine luglio. Il secondo ancora no. Di qui il lavorio senza sosta della Procura di Roma e della Polizia Postale, cui sono corsi in aiuto l’Europol e perfino l’Fbi, per ricostruire passo passo l’intrusione nei server di Lazio Crea. Da quanto tempo il collettivo di cyber-criminali si nascondeva dentro al sistema?

È un dubbio dirimente, la cui risoluzione può imprimere una svolta alle indagini. Per produrre una copia dell’enorme quantità di dati contenuta nei server della regione, spiega un esperto, servono infatti diversi giorni, talvolta addirittura settimane o mesi. Scoprire quanto lunga è stata la permanenza dei ricattatori all’interno dei server può aiutare a capire quanto sia concreto il rischio di una copia dei dati in mano agli aggressori, pronta a diventare merce di scambio sul web.

Aste di questo tipo sono frequenti. La notte dell’attacco alla regione Lazio la chiave di accesso ai server di Engineering Spa, azienda di informatica quotata alla Borsa di Milano che fornisce servizi informatici alla PA italiana, è finita al centro di una compravendita sul dark web al prezzo base di 30.000 euro in bitcoin, riporta Repubblica.

Il countdown indicato dagli hacker, 72 ore, è già scaduto. E in assenza del pagamento del “ransom”, il riscatto, non è da escludere una contro-mossa da parte dei criminali del web rimasti a bocca asciutta.