Attacco hacker alla Regione Lazio, recuperato un backup recente! Gli sviluppi

06 Agosto 2021 846

Sia il sito della Regione Lazio che quello per la prenotazione dei vaccini non sono raggiungibili da poco dopo la mezzanotte di oggi, domenica 1 agosto. La Regione, tramite Twitter, ha annunciato un attacco hacker in corso sul proprio portale.

"È in corso un potente attacco hacker al ced regionale. I sistemi sono tutti disattivati compresi tutti quelli del portale Salute Lazio e della rete vaccinale. Sono in corso tutte le operazioni di difesa e di verifica per evitare il potrarsi dei disservizi. Le operazioni relative alla vaccinazioni potranno subire dei rallentamenti. Ci scusiamo per il disagio indipendente dalla nostra volontà.”

Gli addetti alla sicurezza informatica della Regione si sono già rivolti a esperti esterni. Le analisi sono in corso. Nicola Zingaretti, il presidente della Regione Lazio, ha così commentato:

Da stanotte è in corso un pesantissimo attacco hacker contro sistemi informatici LazioCrea che gestiscono prenotazioni vaccini. Un fatto gravissimo, blocca un servizio fondamentale. Ci scusiamo con i cittadini per gli inevitabili disservizi. Abbiamo segnalato alle autorità l'attacco e ringrazio tutti i dipendenti che da questa notte sono al lavoro per difendere la centrale e per tornare alla normalità

Il sito per la prenotazione dei vaccini è irraggiungibile da diverse ore

La polizia postale, d'intesa con la Procura di Roma, ha già avviato accertamenti in relazione all'attacco. L'apertura del fascicolo verrà formalizzata nelle prossime ore, dopo che verrà depositata una prima informativa. I pm potrebbero procedere per accesso abusivo a sistema informatico. Obiettivo degli investigatori è capire la "matrice" dell'attacco e se c'è stata eventuale richiesta di riscatto.

LA SITUAZIONE

6 AGOSTO

ORE 19:00

La Regione Lazio ha trovato un backup intatto dei dati del database sanitario regionale. Non è perfettamente chiaro da dove salti fuori questo backup: Zingaretti ha detto che è stato recuperato da "un sistema di ultimissima generazione protetto da hardware". si sa comunque che il backup risale al 30 luglio, e quindi è molto recente - l'attacco hacker è avvenuto nella notte tra l'1 e il 2 agosto. Il tweet qui di seguito sembra lasciar intendere che si è riusciti a ricostruire i file con un software di recovery degli hard disk (gli "undelete", per capirci), visto che i backup erano solo stati cancellati e non criptati.

3 AGOSTO

ORE 18:30

L'attacco hacker che ha colpito la Regione Lazio è partito dalla "violazione di un'utenza di un dipendente in smartworking. Hanno colpito in un momento particolare, in un momento di smartworking, quando il livello di attenzione si abbassa. Serve fare un passo in avanti a livello Paese". Lo ha detto l'assessore alla Sanità del Lazio, Alessio D'Amato, a Repubblica.

ORE 13:00

Non è ancora finito l'attacco che ha mandato in tilt il sistema della Regione Lazio. Alessio D'Amato ha affermato che entro 72 ore verranno ripristinate le funzionalità per le nuove prenotazioni di vaccino, con le medesime modalità di prima.

È in corso una trasmigrazione e la deadline è quella delle 72 ore. Le somministrazioni in questi giorni non si sono mai interrotte, secondo le prenotazioni precedenti che erano state prese, per cui non c'è mai stata l'interruzione della campagna vaccinale"

Secondo quanto affermato da Nicola Zingaretti,

"nessun dato è stato trafugato. Rimetteremo in piedi il sistema nei prossimi giorni, entro il 13 agosto"

Nel frattempo, secondo quanto riportato da Repubblica, la procura ha aperto un fascicolo che, al momento, è contro ignoti. I reati ipotizzati sono associazione con finalità di terrorismo o di eversione dell'ordine democratico.

2 AGOSTO

ORE 16:40

Si è conclusa pochi minuti fa la conferenza stampa del presidente della regione Nicola Zingaretti. Zingaretti spiega che sono "stati bloccati quasi tutti i file del CED", o centro elaborazione dati.

Al momento rimangono bloccate le prenotazioni informatiche per il vaccino contro il coronavirus, mentre l'erogazione dei certificati di avvenuta vaccinazione, o green pass, potrebbe ritardare di 24 ore al massimo. I dati sono già stati inviati dalla Regione alla sede centrale. La notte scorsa è stato condotto un ulteriore attacco, che però è stato respinto completamente. È stato ribadito che i dati sanitari, finanziari della struttura sanitaria regionale e la banca dati del bilancio non sono stati toccati.

Il ripristino delle strutture informatiche richiederà tempo e si procederà per fasi. La priorità verrà data ai servizi sanitari, trasferendoli anche su sistemi cloud esterni per accelerare i tempi. Di seguito potete seguire per intero l'intervento.

ORE 13:00

Man mano che passano le ore emergono dettagli sempre più precisi sull'attacco. E le notizie non sembrano essere affatto buone. Si tratta dell'attacco hacker più grave mai avvenuto in Italia ("il più pericoloso e delicato mai visto in Italia", dice l'intelligence), che ha messo (e sta mettendo) in pericolo la sicurezza nazionale e la privacy della popolazione, incluse le più alte cariche dello Stato (tra questi il Presidente della Repubblica Mattarella e il Presidente del Consiglio Draghi).

Le operazioni in corso sono due: da un lato si cerca di bloccare il virus, dall'altra si sta indagando per scovare i responsabili. Intanto le vaccinazioni sono ripartite tramite sistema cartaceo, ma per tornare alla normalità serviranno probabilmente settimane. Nessuno Stato straniero sembra essere dietro all'attacco, partito (forse) dalla Germania sfruttando un PC rimasto collegato alla rete (volutamente?). Il timore ora è che i dati sanitari trafugati sbarchino sul dark web per essere poi rivenduti. La situazione, dunque, potrebbe ulteriormente peggiorare.

Dal PC rimasto acceso è stato caricato un malware "artigianale": la sua diffusione fino al Ced (Centro elaborazione dati) è avvenuta molto rapidamente, complice l'assenza di barriere adeguate nel sistema. C'è stato un tentativo di far ripartire il sistema, ma appena attivato è partito un secondo attacco. Si attendono ora indicazioni da parte degli hacker sull'ammontare del riscatto.

ORE 12:00

Secondo le parole di D'Amato riportate dal Messaggero, non sono stati rubati dati sensibili: "I tecnici sono al lavoro per riattivare in sicurezza anche le nuove prenotazioni e nessun dato è stato trafugato. Siamo in contatto costante con la struttura commissariale per garantire agli utenti che si vaccinano di avere il green pass secondo le consuete modalità".

ORE 10:00

Stando a quanto riportato da Il Post, i lavori per ripristinare i sistemi sono cominciati, così come le indagini, di cui si sta occupando la polizia postale. Oggi arriverà nella sede della Regione una squadra di esperti del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche per fornire aiuto ai tecnici locali già impegnati da domenica.

1 AGOSTO

ORE 20:50

Secondo quanto riportato da Repubblica, il sistema della Regione Lazio sarebbe stato infettato da un trojan cryptolocker. Gli hacker avrebbero già richiesto nel pomeriggio un riscatto in bitcoin.

Non è ancora chiaro quanto sia la cifra richiesta. La polizia postale ha potenziato la struttura degli investigatori per riuscire a scovare i criminali informatici.

ORE 20:00

D'Amato ha confermato che, nonostante l'attacco informatico, la campagna vaccinale non si ferma:

La campagna vaccinale sta procedendo e proseguirà regolarmente, non c’è stata nessuna interruzione e non ci sarà nei prossimi giorni. L’attacco Hacker non è riuscito a bloccare la campagna vaccinale del Lazio. Ringrazio tutti i nostri operatori che si stanno impegnando per garantire tutte le somministrazioni. Chi è prenotato, può andare tranquillamente nei centri vaccinali. Ringrazio il Commissario Figliuolo per la disponibilità che ci ha dato nel garantire il supporto nel trasferimento dei flussi nell’anagrafe vaccinale nazionale. Non ci fermeremo di fronte a questo attacco.

ORE 16:30

Stando a quanto riportato dall'agenzia AGI, il virus che ha colpito la regione è un ransomware criptolocker, un particolare tipo di attacco informatico dove di solito l’attaccante prende il controllo di parte o di tutto il sistema informatico e per liberarlo chiede in cambio un riscatto (ransom). Al momento non c'è ancora ufficialità ma l'agenzia riporta una seconda conferma anche da fonti investigative che hanno comunque precisato che al momento non è stata ricevuta alcuna richiesta di riscatto.

ORE 15:50

Il presidente del Copasir, Adolfo Urso, ha assicurato l'impegno del Comitato su quanto accaduto:

"L'attacco cibernetico alla Regione Lazio evidenzia quanto sia importante proteggere le nostre infrastrutture dalle nuove minacce in rete e conferma l'urgenza di attivare l'Agenzia sulla sicurezza cibernetica per aumentare la resilienza del Paese. È questo ormai un tema costante della nostra attività tanto più alla luce del Covid che ha accelerato il passaggio alla società e alla economia digitale. Ho chiesto informazioni al Dis sulla vicenda specifica affinché il Comitato possa fare le sue valutazioni"

ORE 15:45

I siti web di Regione e Salute Lazio sono ancora irraggiungibili. Stanno perseguendo comunque le somministrazioni dei vaccini negli hub.

ORE 13:40

"Sospese le prenotazioni del vaccino, continuano le somministrazioni con possibili rallentamenti», fanno sapere dalla Regione.

ORE 13:00

"È un attacco hacker molto potente, molto grave. È tutto out. È sotto attacco tutto il ced regionale", il commento dell'assessore regionale alla Sanità, Alessio D'Amato.

in aggiornamento...


846

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Funz

Miiinchia e dillo che uno deve andare di lente di ingrandimento...
E comunque la gender equality (parità dei sessi) non ha niente a che vedere coi vostri deliri omofobi complottisti.
O sei anche contro la parità dei sessi? Perché da un fascistonzolo ci si può aspettare qualunque aberrazione, oltre a non saper leggere e\o capire quello che si è letto...

QuestoCommento èStatoEliminato

Leggi cosa c'è scritto...

QuestoCommento èStatoEliminato

https://uploads.disquscdn.c...

Funz

che mi rappresenta quella foto? Che c'entra con la minchiata del gender?

QuestoCommento èStatoEliminato

Embè cosa?

Funz

embé???

QuestoCommento èStatoEliminato

https://uploads.disquscdn.c...

QuestoCommento èStatoEliminato

https://uploads.disquscdn.c...

Funz

la c.d. "teoria gender" è una minchiata, e siete ancora considerati complottisti, altroché!

italba

"Magari ne fanno 10", lo sai cosa vuol dire in italiano o hai fatto troppe assenze alle elementari? Sicuramente ne fanno più di una, magari non 10 ma qualcuna a rotazione sicuramente sì. Tu, grandissimo espertone, ti fideresti di un'unica copia che viene sovrascritta giorno per giorno? E poi stiamo parlando di dischi e di backup giornalieri, da dove vengono fuori i "mesi prima"? Dal tuo cervello senza backup?

salvatore esposito
italba

E chi ti ha detto che se ne fa una copia sola, pezzo di quadrupede? Magari ne fanno 10 a rotazione, tu che ne sai? Credi che forse gli manchino i TB? Che possa averlo solo cancellato anziché criptato è possibilissimo, basta che non avesse la possibilità di riscrivere nello spazio dati ma solo di eliminare il file system. Comunque né io né tu ne sappiamo niente, quindi è inutile che continui a sparare ca####e come se non ci fosse un domani. Domani riapre il mercato rionale, vai lì a fare i tuoi pettegolezzi ed a spammare le tue maldicenze da zitella disperata

salvatore esposito

quindi mettiamo completi e incrementali in posti separati giusto per mandare al manicomio chi si occuperà del recovery visto che tale macchina avrebbe accesso a tutte le destinazioni e quindi per il ransomware farebbe alcuna differenza...
senza contare che quel tipo di soluzione è buona quando non devi spostare molti dati perché significherebbe dover impegnare anche 10 volte lo spazio dedicato alla copia in uso e capirai che se si parla di 300-400tb (eh si, le società grosse ci arrivano facilmente a quelle moli) avrebbero un serio problema a mantenere quel tipo di backup.
poi, tranquillo, puoi continuare ad utilizzare il tuo bel cobian è un'ottima soluzione casalinga ma per certe realtà sono meno dispendiose le sincronizzazioni offline che non cancellano nulla ma banalmente tengono aggiornata una seconda copia (ma zingaretti ha parlato di backup cancellato quindi non usavano soluzioni simili).
c'è da aggiungere che non è la sola possible solutione per raggiungere una maggiore sicurezza e flessibilità ma è anche vero che il ransomware (non hacker con cui ti stai riempiendo la bocca dimostrando ancora la tua ignoranza) prima di essere un problema informatico è un problema culturale ed è necessario stabilire conseguenze più o meno gravi per la violazione dei protocolli ed è assurdo che ancora oggi ci sia gente che apre allegati a caso.
poi ci sarebbe da controllare quale fosse la reale situazione in termini di sicurezza prima, quale sia il budget annuale per implementare nuove soluzioni (credo zero visto che il tuo amato Zingaretti li ha spesi in sagre), a che livello è la formazione dei dipendenti della pubblica amministrazione, se questa è scarsa la testa del responsabile deve cadere, se la formazione dei dipendenti è buona, la testa del dipendente che ha fatto il casino deve cadere, se la responsabilità è dell'it allora deve essere lui a cadere... se mancava un budget (come credo) è il tuo amato Zingaretti a doversi dimettere

salvatore esposito

ancora? backup giornalieri si fanno in automatico e sono dischi che vengono riscritti tutti i giorni, per essere fatti in automatico (a meno che tu non pensi che l'omino si metta a copiare i file modificati e rimuovere i cancellati uno per uno) significa che determinata macchina ha accesso al san (o nas o quel che sia o forse le schede forate visto quanto spendono in tecnologia li) e alla periferica dedicata al backup (che può essere la stessa macchina o altro), quindi il ransomware (piantiamola di parlare di hacker che è ridicolo) ha crittografato tutti i dati e pure i backup (prima dichiarazione del tuo amato Zingaretti e ribadita nei giorni scordi) ma mosso a pietà (come sono teneri questi ransomware) ha deciso di sua iniziativa di prendere uno dei backup e cancellarlo solamente.
praticamente stiamo dicendo che un programma va contro il suo stesso codice oppure perché chi lo ha creato nel codice ha imposto "un backup lo lasciamo perché siamo buoni".
questa è una gran botta de cu...oppure (decisamente più realistico) hanno pagato

italba

"Ragionamento" puerile e totalmente sballato: Io ho scritto, precisamente:


Ripeto per i trollini dilettanti che non riuscissero a capire né alla prima né alla seconda né mai (tu): Non è affatto detto che Zingaretti sapesse di questi backup su nastro (o cloud) e non è assolutamente detto che ne sappia niente sull'argomento. Potrebbe anche esserci stato un disco come backup giornaliero? Probabile, ma è sicuro, visto che chiunque abbia un database serio lo fa, che abbiano anche i backup offline su nastro o cloud. Continui a sparare str...upidaggini come se non ci fosse un domani e pettegolezzi degni della sora Giorgia, a questo punto ti mando definitivamente dove meriti di essere mandato e tanti saluti

Il fatto che (forse) abbiano recuperato i dati da un disco non vuol dire assolutamente che non ci fossero anche i backup su nastro, magari il disco era più aggiornato e quindi hanno preso quello

salvatore esposito
italba

E da dove sarebbe venuta fuori la storia del nastro demagnetizzato? I miei commenti ci sono tutti, indicami dove mai lo avrei detto!

salvatore esposito
italba

Povero trollino dilettante, hai finito gli argomenti? Non è che ripetendo 100 volte la stessa ca####a questa diventa magicamente vera!

E chi è che li avrebbe cancellati, gli hacker via internet? GENIO!


Caro il mio diversamente serio nonché diversamente intelligente, ti ho già spiegato che nessuno può "demagnetizzare" un nastro via internet. Se riesci a capirlo bene, se no vai a scrivere agli astronauti se vedono il navigatore solitario


P.s.
Ti ho già detto pure questo, gli hacker non sono maghi che possono
demagnetizzare i nastri quando sono messi belli tranquilli sul loro
scaffale nella cassaforte ignifuga! GENIO!
italba

Caro il mio diversamente serio nonché diversamente intelligente, ti ho già spiegato che nessuno può "demagnetizzare" un nastro via internet. Se riesci a capirlo bene, se no vai a scrivere agli astronauti se vedono il navigatore solitario

salvatore esposito
salvatore esposito
italba

Mi sono un po' rotto le OO di interloquire con un trollino dilettante come te, vattela un po' a pigliartela dove meriti. Io ti ho spiegato cosa sono e come funzionano i backup, se non ci credi iscriviti alla facoltà di informatica (dopo aver superato gli esami di licenza elementare e media, ovviamente) e studiatelo

italba

E tu razza di capretta che non sei altro vorresti spiegare a me cosa siano i nastri di backup? Ma ce l'hai una faccia, da un lato o dall'altro?

italba

Ripeto per i trollini dilettanti ch non riuscissero a capire né alla prima né alla seconda né mai (tu): Non è affatto detto che Zingaretti sapesse di questi backup su nastro (o cloud) e non è assolutamente detto che ne sappia niente sull'argomento. Potrebbe anche esserci stato un disco come backup giornaliero? Probabile, ma è sicuro, visto che chiunque abbia un database serio lo fa, che abbiano anche i backup offline su nastro o cloud. Continui a sparare str...upidaggini come se non ci fosse un domani e pettegolezzi degni della sora Giorgia, a questo punto ti mando definitivamente dove meriti di essere mandato e tanti saluti

salvatore esposito
salvatore esposito
italba

Te l'ho già detto, metti i link a "tutti i massimi esperti della sicurezza informatica", voglio proprio farmi due risate!

P.s. Ti ho già detto pure questo, gli hacker non sono maghi che possono demagnetizzare i nastri quando sono messi belli tranquilli sul loro scaffale nella cassaforte ignifuga! GENIO!

salvatore esposito
salvatore esposito
loripod

La penso esattamente come te.

italba

Magari un'aziendina come la regione Lazio avrà più di un sistema di backup, non pensi? Evidentemente no, non pensi proprio

italba

Come trollino dilettante fai veramente pena, ma un minimo di fantasia no?

italba

Ma "ritratti" de che??? "Supporti removibili" sono ANCHE i nastri, CAPRA! Se poi in regione Lazio adoperino nastri, cartucce o cloud non lo so e non è questo il problema. L'essenziale è che qualunque backup un minimo serio si fa su supporti removibili!

salvatore esposito
salvatore esposito
salvatore esposito
italba

"Supporto removibile" cosa vuol dire secondo te, GENIO? Evidentemente Zingaretti non aveva capito la situazione, avranno cancellato anche i server online ma sicuramente i nastri no!

italba

E chi è che li avrebbe cancellati, gli hacker via internet? GENIO!

italba

È appunto a questo che servono i nastri di backup, grandissimo furbacchiotto!

italba

Ma piantala di sparare ca####e! I backup si fanno SOLO su nastro, cartuccia removibile o su cloud, vengono conservati giorno per giorno in un posto sicuro che giorno per giorno (o una volta la settimana, secondo accordi) ti manda indietro le cartucce vecchie da riutilizzare. Oppure meglio ancora, Azure, o AWS o più o meno tutti i servizi cloud offrono la possibilità di fare un backup sui loro server, i dati che gli mandi, ovviamente, non si possono modificare e vengono cancellati a scadenza per fare spazio: Confondi il backup aziendale con un nas da due soldi, ma vatti a nascondere!

salvatore esposito
salvatore esposito
italba

Tu hai risposto con una delle solite ca####e delle tue, inutile che ora la butti sul ridere. Qui l'unico che fa ridere sei proprio tu!

salvatore esposito
italba

Ma nemmeno a Paperopoli fanno i backup così! E se succede un incendio perdi anche i backup? Ma piantala di dire ca####e, i backup da sempre si fanno su supporto removibile o su cloud!

salvatore esposito

io ho risposto ad un utente con una battuta... torna a fare il bodyguard di Zingaretti

salvatore esposito

tu o ci fai o ci sei... su nastro (questi nemmeno hanno idea di cosa significhi) si fanno i backup a lungo termine ovvero di roba che viene archiviata e se mai esplode tutto, vado al sito di stoccaggio e recupero... visto che hanno detto che erano stati cancellati, è chiaro che stai dicendo cagate non sapendo nemmeno come funziona il backup su nastro.
il backup su nastro viene utilizzato principalmente per fare copia di ciò che non serve più all'azienda, non deve essere più preso e lavorato ma va archiviato per difendersi da eventuali cause legali e simili o banalmente per mantenere una copia... se dovessero uscire e che hanno recuperato backup da nastro, sarà l'ennesima dimostrazione che stanno mentendo

salvatore esposito

allora proprio non ci arrivi, I backup vengono fatti continuamente e il supporto viene sempre sovrascritto quindi perso... ammesso che facciano backup giornalieri, il 31 sarà partito il successivo backup quindi sovrascritto.
poi perché dire che erano stati compromessi i backup se c'era questo? come mai spunta proprio il giorno della scadenza imposta dal ransomware? capisco botte di cu e coincidenze ma qui per credere a queste fandonie si può in due casi... o essere un pollo o in malafede

italba

Nessuna offesa, semplice constatazione dell'evidenza

Xiaomi 11T ufficiale con Pro, 11 Lite NE e Pad 5. PREZZI e disponibilità Italia

Internet down: migliaia di siti offline, tra cui Amazon e Twitch | Cos'è successo

Amazon Prime Day 2021 le date e le offerte già attive: 21 e 22 giugno ufficiale

I migliori smartphone 5G economici | Guida