Ecco lo screenshot della richiesta di riscatto per l’attacco informatico con cui sono stati criptati i dati sui server della Regione Lazio.
È stata un’operazione ransomware, nota come RansomEXX, a bucare i sistemi informatici della Regione Lazio. LockBit 2.0 è stato, invece, utilizzato per colpire, nelle stesse ore, altre eccellenti vittime italiane, come Erg.
Il ransomware RansomEXX è stato inoculato nel sistema informatico regionale, e ha criptato i dati. Poi il messaggio di richiesta di riscatto, reso pubblico dal sito Bleepingcomputer: “Ciao Lazio! I vostri file sono stati criptati. Per favore non cercate di modificarli o rinominarli, potrebbe portare a una perdita dei dati e un malfunzionamento nel decriptaggio”.
Dall’url si legge “.onion”, estensione assegnata solo dalla rete Tor, nota per l’operazione RansomEXX.
Il Governo: “Lo Stato non tratta”
E alla fine del messaggio dei cybercriminali c’è il link per scoprire l’ammontare del pagamento. Ieri la ministra dell’Interno Luciana Lamorgese di fronte al Copasir è stata categorica: “Lo Stato non tratta”.
Il Corriere della Sera: “Il riscatto fino a 5 milioni di euro”
“Gli analisti sono convinti”, riporta il Corriere della Sera, “che il riscatto possa ammontare — come accaduto in casi di istituzioni analoghe e con lo stesso volume di dati carpiti — a 5 milioni di euro”. Vedremo.
Sempre secondo Bleepingcomputer, i criminali informatici non avrebbero rubato i dati dai server della Regione Lazio, perché “non hanno pubblicato nel messaggio di riscatto né informazioni sulla quantità di dati rubati né screenshot dei file”. È troppo presto per dirlo ora con certezza.
“Non è così insolito vedere il gruppo di RansomEXX non rubare dati anche se potenzialmente preziosi. Già visto… Spesso però sono orientati all’acquisizione di credenziali utili per accedere a servizi di partner o di terze parti”, commenta così su Twitter Emanuele De Lucia, l’esperto di cybersecurity.
Chi c’è dietro il RansomExx?
De Lucia sul suo sito spiega nel dettaglio cos’è e come funziona il RansomExx (aka Defray777, 777 o Ransom X). Scrive: “È una variante ransomware multi-piattaforma operata a basso volume come parte di attacchi informatici in più fasi che prendono di mira organizzazioni, enti governativi ed aziende attive in vari settori”.
E svela anche chi c’è dietro: “È stata protagonista di diversi attacchi di alto profilo nel 2020 e 2021 e la crew che lo mantiene, chiamata Sprite Spider, appare piuttosto attiva nella sua manutenzione e nel suo sviluppo”.
Chi è il gruppo Sprite Spider che potrebbe essere dietro il RansomExx?
Sprite Spider, continua De Lucia, è un gruppo di cyber-criminali motivato finanziariamente e specializzato in attacchi post-intrusione finalizzati alla diffusione di ransomware. Il gruppo è correlato principalmente alla già citata famiglia malware nota con il nome di RansomEXX (o Defray777).
La conclusione di Emanuele De Lucia ispira una piccola speranza. “Nonostante Sprite Spider si sia trovato spesso in prossimità di dati di grande valore, in qualche caso non è stato osservato esfiltrare dati dalle vittime ma si è ‘limitato’ a renderli solo indisponibili aumentando la frequenza nell’esfiltrazione dati solo nell’ultimo periodo di attività. L’attenzione del gruppo si sposta spesso anche sul collezionamento di credenziali utili per l’accesso a sistemi partner della vittima o servizi di terze parti”.
Ma, osserva Federico Fuga, “è possibile che stiano aspettando la scadenza del periodo del riscatto” per iniziare a rubare i dati. Attendiamo le evoluzioni.