Col trascorrere delle ore emergono nuove informazioni e dettagli rispetto al gravissimo attacco ransomware subito dal data center dei sistemi informatici della Regione Lazio.
La situazione è ancora ben lungi da tornare alla normalità e già ieri si parlava della necessità di oltre 15 giorni per ripristinare correttamente i sistemi: d'altronde, l'unico backup dei sistemi informatici regionali era online ed ha anche questo subito la criptazione, così non può essere utilizzato per ripristinare la rete e i servizi. Inoltre, ogni tentativo di riportare online la rete termina con la riattivazione del ransomware. Zingaretti ha annunciato ieri che stanno procedendo al trasferimento dei dati necessari per i servizi sanitari essenziali verso un sistema in cloud esterno: in pratica stanno provando ad allestire un sistema informatico alternativo a quello in paralisi per l'attacco. D'altronde sono bloccati servizi sanitari di grande importanza: non solo è in blocco l'intero sistema di gestione della campagna vaccinale, ma non è neppure possibile prenotare online visite specialistiche, effettuare Pap test e mammografie ecc.. Bloccato anche il sistema di gestione del Green Pass, la possibilità di pagare bolli e di ottenere autorizzazioni sia sanitarie che edilizie.
Galeotta fu la VPN...
Le verifiche della Polizia Postale hanno portato ad individuare almeno il punto di accesso, ovvero una falla nella VPN utilizzata dai dipendenti della Regione per accedere da remoto alla rete. In dettaglio, i dati hanno portato a concentrare l'attenzione sul computer in uso ad un impiegato della Regione residente a Frosinone: l'accesso degli attaccanti alla rete è avvenuto proprio sfruttando le sue credenziali rubate. L'escalation verticale di privilegi è stato poi ottenuto grazie all'uso del famigerato trojan Emotet: a quel punto, l'accesso rubato al dipendente ha consentito tutti i privilegi necessari per eseguire operazioni più profonde nella rete, come, appunto, la distribuzione del ransomware.