Rischio cyber fuori controllo?

La recente divulgazione di 155 gigabyte di dati esfiltrati dai sistema della Regione Sardegna offre lo spunto per qualche riflessione e solleva alcuni interrogativi. Una possibilità che ci viene offerta da un comunicato ufficiale dell’ente che ricostruisce l’accaduto.

In primo luogo l’attacco risale al 1° febbraio, quando la società in house SardegnaIt viene colpita da un ransomware che si propaga ai sistemi di gestione degli archivi digitali dell’Amministrazione. Immediata denuncia alla polizia postale di Cagliari che interviene, supportata dal Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche). Fino a questo punto nulla di strano. Tuttavia la ricostruzione poi prosegue affermando che “… Era presente nei pc e server attaccati la tipica richiesta di contatto al gruppo hacker… Notificata esclusivamente alla polizia postale”. A questo punto si precisa che “… non è stato richiesto nessun riscatto e non è stata attivata alcuna trattativa dagli uffici dell’Amministrazione.”

Messa in questo modo sorge immediatamente una domanda: cosa volevano dunque i criminali cercando un contatto?

In realtà appare probabile che nessuno glielo abbia chiesto, almeno in una prima fase, per una ragione molto semplice, spiegata nello stesso comunicato: “Dopo la prima fase di gestione della crisi, si è proceduto immediatamente al ripristino dei dati dai sistemi di backup che risultavano integri.” Quindi nessuna buona ragione per mettersi a trattare e tantomeno per pagare.

Adesso però arriva la parte interessante ovvero la diffusione avvenuta il 17 giugno scorso dei dati.

Sulla base di alcune schermate, sembra prelevate dal sito della cybergang che ha eseguito l’attacco, si nota come siano presenti parecchie cartelle con una data di creazione che risale al 21 di aprile. Da questo si può dedurre che i criminali hanno “girovagato” per almeno tre mesi all’interno dei sistemi della vittima.

Si tratta di un dato che rammenta ancora una volta a tutti come le aggressioni non siano istantanee e gli effetti visibili (di solito quelli del ransomware) si manifestino anche dopo molto tempo che la violazione si è verificata. Un secondo elemento interessante è la possibilità che qualcosa nei piani della cybergang non abbia funzionato. I criminali sanno perfettamente che la compromissione dei backup è fondamentale perché la prima fase estorsiva abbia successo. Nell’occasione pare abbiano mancato l’obiettivo. Da un lato forse speravano potesse essere sufficiente la minaccia di divulgare le informazioni esfiltrate, dall’altro mi piace pensare che i “buoni” avessero immaginato lo scenario di attacco e avessero configurato e collocato i backup in modo tale da prevenire lo scenario peggiore.

Se così fosse è un piccolo, ma importante passo avanti.