emporia

Corriere.it ha pubblicato la mail di rivendicazione in inglese fatta pervenire alla Regione Lazio dagli autori dell’attacco hacker che hanno installato un ransomware nei database e bloccato i servizi, tra cui quello per la gestione delle vaccinazioni (rimesso in funzione). Nelle scorse ore, il presidente della Regione Nicola Zingaretti ha fatto sapere che è stato recuperato un backup risalente al 30 luglio su cui il Ced (centro elaborazione dati) sta riattivando progressivamente la piattaforma. Allo stato attuale il sito della Regione Lazio è ancora “momentaneamente irraggiungibile”. In questo bailame, gli attentatori hanno inviato una messaggi in inglese per minacciare di pagare il riscatto altrimenti questo sarà alzato e, nel peggiore dei casi, tutti i file coinvolti saranno cancellati.

La mail di rivendicazione che vedete riprodotta in questa pagina è tutt’ora all’esame degli investigatori della polizia postale insieme con quelli dell’intelligence (italiana e, come si vocifera, anche americana) per riuscire a identificare gli attori che hanno provocato l’attacco ransomware.

A leggerla bene, anche in virtù della richiesta di interagire con un “ceo”, la rivendicazione sembra composta da frasi standard usate per le vittime di ransomware. Se la forma è di quelle già pronte all’uso per ogni evenienza, i contenuti sono tutt’altro che tranquillizzanti .

Gli avvertimenti e la rivendicazione vertono sul procedere con il pagamento, senza avvertire la polizia (già coinvolta), e su come mettersi in contatto usando apposite piattaforme di mail, da cui ottenere anche dimostrazioni relative alla decifrazione dei dati. La mancata osservanza di queste indicazioni provoca conseguenze, che spaziano dall’incremento del riscatto da pagare fino alla cancellazione degli archivi.

Si tratta di un ulteriore stimolo alla Regione Lazio a versare i soldi, il cui ammontare è ancora sconosciuto, proprio in corrispondenza del termine del primo ultimatum (venerdì 6 alle 23). Il nuovo ultimatum è di un giorno, quindi dovrebbe scadere questo weekend.

La mail di rivendicazione in italiano

Ecco la traduzione della mail di rivendicazione:

“Prima di tutto, dobbiamo metterci in contatto con il RAPPRESENTANTE UFFICIALE o IL CEO dell’azienda interessata.
Se non hai il diritto di parlare dal nome di questa azienda, non provare a contattarci! Qualsiasi contatto non autorizzato AUMENTA l’importo del riscatto. Possiamo condividere queste informazioni SOLO con persone AUTORIZZATE, senza eccezioni. Riteniamo che tu capisca che queste misure sono necessarie per mantenere la PIENA RISERVATEZZA del nostro accordo. Questa pagina è raggiungibile SOLO tramite il link diretto”.

La mail di rivendicazione continua così: “Nel caso in cui lei sia il RAPPRESENTANTE UFFICIALE dell’intera azienda, si prega di considerare le seguenti informazioni con TUTTA l’attenzione possibile. Inoltre, puoi consultare qualcuno del tuo dipartimento IT. Ci aiuterà a EVITARE ulteriori malintesi. I tuoi file sono stati CRIPTATI con la crittografia più recente. Ricorda che qualsiasi tentativo di MODIFICA o RINOMINA dei file cifrati causerà un grave danno al file. Inviaci il tuo indirizzo EMAIL e CARICA uno dei file cifrati. Quando il file verrà caricato, il modulo di caricamento del file verrà ELIMINATO. Questo è uno dei motivi per cui parliamo solo con una persona autorizzata: qualsiasi azione di altre persone porterà GRAVI problemi”.

Conclude la rivendicazione: “Punto importante: NON cercare di caricare file con qualsiasi tipo di informazione sensibile (banche dati, backup, documentazione finanziaria, dati tecnici, documenti di grandi dimensioni e così via.). Questo file verrà decifrato COME ESEMPIO. Mostrerà la nostra capacità di decifrare altri file. Non ti daremo la possibilità di decifrare un file e lasciare più email. Non provare nemmeno a imbrogliarci! Ti contatteremo quando ci invierai un FILE DI PROVA. Dopo il PAGAMENTO, tutte le tue informazioni verranno decifrate. Devi risponderci in UN GIORNO. In ogni altro caso, l’importo del riscatto verrà AUMENTATO, ma avrai un’opportunità in più per caricare il file di prova. Parliamo solo INGLESE. Attenzione: non chiamate la polizia, perché BLOCCANO tutti i vostri conti bancari per impedire il vostro pagamento. E, poiché non sarai disponibile per inviare un pagamento, tutti i tuoi file crittografati andranno PERSI. Tieni presente che hai un tempo LIMITATO per prendere una decisione. Quindi, hai una scelta ora. Se vuoi ripristinare i tuoi dati, contattaci ORA”.

La Vpn di Regione Lazio è compromessa: i consigli di Engineering

Engineering, coerentemente con l’approccio di trasparenza adottato dall’inizio dell’ultima ondata di attacchi cyber registrati nel nostro Paese, nella convinzione che sia un fattore chiave per stimolare la cooperazione nella lotta contro il cybercrimine, comunica che dopo la prima informativa prontamente rilasciata in seguito alla registrazione dell’evento dell’ultima settimana di luglio, le approfondite verifiche da subito iniziate, nella notte del 5 agosto hanno permesso di rilevare una possibile compromissione di credenziali di accesso ad alcune VPN di clienti, subito avvertiti individualmente.

Sebbene si ritenga non corrano ulteriori rischi, sono stati invitati ad eseguire il cambio password degli account supportati dai nostri team segnalandoci ogni sospetto di utilizzo inappropriato di nostre credenziali, e lo stesso invito lo stiamo inoltrando in queste ore a tutti i clienti.

Ad oggi non vi è alcuna prova di ulteriori attività rispetto a quelle già note, ma come è dovuto davanti a eventi complessi, proseguiranno ulteriormente le investigazioni su quanto accaduto con il supporto di Kaspersky, leader mondiale in ambito Cybersecurity.

Si ribadisce nuovamente che le ulteriori informazioni riportate sono legate all’evento di cui la Società aveva già dato comunicazione e su cui non c’è alcuna evidenza di un collegamento con quanto avvenuto alla Regione Lazio. Avendo fornito con chiarezza tutti gli elementi chiave per evitare ricostruzioni scorrette e ingannevoli come più volte capitato in questi ultimi giorni, Engineering si riserva di agire in tutte le sedi opportune a tutela della propria immagine e dei propri dipendenti.