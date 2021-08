La buona notizia è che in Lazio tutto ripartirà entro agosto: i dati sono stati ripristinati tramite un backup. L’ha detto la stessa Regione: non erano criptati come gli altri dal ransomware che ha colpito il datacenter, ma solo cancellati e i tecnici hanno dovuto lavorare per giorni per riuscire a recuperarli.

Storia plausibile, dice Paolo dal Checco, ingegnere forense e tra i massimi esperti del tema: “Può succedere che i dati siano solo cancellati, anche se di solito i ransomware riescono a criptare anche i backup”.

La storia lascia perplessi diversi tecnici, in particolare su Twitter e su chat dedicate alla security su Telegram: Matteo Flora si è per esempio detto scettico rispetto all’annuncio del ritrovamento dei dati (presentato per la prima volta ieri sera da Corrado Giustozzi, che lavora sul caso e finora avrebbe sempre parlato autorizzato dalla Regione), ma “sarà facile vedere se hanno pagato o meno il riscatto. Se non escono i dati, hanno pagato”.

Insomma, il sospetto è che i dati siano stati recuperati perché la Regione ha pagato il riscatto, ipotesi fin dall’inizio scartata anche dal governo. Comunque, la piattaforma vaccinale è già tornata online perché i dati sanitari non sono mai stati criptati (erano altrove, al sicuro, ha detto sempre la Regione).

Il backup

La Regione ha fatto sapere a Italian Tech che il backup è avvenuto in automatico su un sistema Virtual Tape Library, che simula lo storage su nastro.

Spiega dal Checco: “I dati del backup di solito sono meno facilmente criptabili perché sono su dispositivi e sistemi diversi da quelli dove è entrato il ransomware. A volte i criminali non riescono ad accedervi, in particolare se le regole del backup impediscono queste azioni. E quindi si limitano a cancellare il backup”. In questo caso è stata una cancellazione più una reinstallazione duplice del sistema (come ha detto Giustozzi) nel tentativo di non rendere disponibili i dati.

La Regione li ha trovati però a un livello più basso, nel senso che erano fisicamente presenti sui dischi. Un lungo lavoro di ripristino, partendo da queste deboli tracce presenti, ha permesso il recupero. Non deve sorprende nemmeno che la Regione abbiamo impiegato tanti giorni prima di ritrovare il backup: “In questi casi per i primi giorni non si fa analisi dei dati, ma solo copia forense, per acquisire la prova del reato e cristallizzarla. Non si prova a vedere se c’è ancora qualche dato disponibile”, ci ha detto ancora dal Checco. E poi, spiegano dalla Regione, i tecnici volvevano essere sicuri che i sistemi fossero stati puliti dal ransomware prima di intervenire.

“Bisogna sapere che ormai questi ransomware non agiscono più in modo del tutto automatico – ha detto ancora dal Checco – Dietro ci sono persone che entrano nei sistemi, vedono cosa fare, cosa criptare. E possono decidere se cancellare qualcosa non riuscendo a criptarla. O anche compiere azioni non razionali”.

Resta inspiegabile perché l’assessore regionale alla Sanità abbia detto pubblicamente che il backup era cifrato: forse si era sbagliato? A riguardo, la Regione Lazio non ha ancora risposto a Italian Tech.

I dati sono stati rubati?

Come detto da Flora, l’altro punto che desta domande è se c’è stato furto (esfiltrazione) dei dati. Di solito le gang del ransomware lo fanno, per poi ricattare la vittima o per rivendersi i dati.

Anche Ransomexx, la gang presumibilmente russa che ha colpito con l’omonimo ransomware la Regione, di solito fa così. Perché stavolta non dovrebbe averlo fatto? La Regione non ha comunicato questa eventualità e non si trovano ancora dati riconducibili a loro, sul Dark Web.

Quel che è certo è che la storia non finisce qui, anche perché si attende la chiusura dell’indagine del garante della Privacy, che potrebbe sanzionare la Regione per quanto avvenuto alla luce della normativa europea.

Fonte www.repubblica.it