La Repubblica

La Regione Sardegna conferma il databreach di 170 mila file

La maggior parte dei file sembra costituita da tabelle excel, coi nomi dei responsabili dei procedimenti amministrativi, nomi di creditori della Regione con relativi importi e rateizzazioni, e provenienti da database regionali apparentemente poco protetti, per capirci, senza l’ulteriore livello di sicurezza rappresentato dall’https e attualmente non raggiungibili.

Per capire la gravità dell’accaduto abbiamo anche sentito il capo ufficio stampa della Regione Sardegna che sul furto e la fuga dei dati ci ha detto: “Un attacco informatico c’è stato. L’attacco risale al primo febbraio scorso ed è tipo ransomware, l’abbiamo notificato al Garante per la Protezione dei dati personali e alla Polizia. Stiamo ancora lavorando con la collaborazione dei tecnici regionali per circoscrivere il danno. Siamo infatti venuti a conoscenza della pubblicazione sul dark web di dati che potrebbero riguardarci e per questo restiamo in stretto contatto con gli inquirenti.”

I dati sarebbero online da tempo ma finora non risulta che ci sia stata una richiesta formale di riscatto. In Regione non ne abbiamo avuto conferma, bocche cucite quelle dei tecnici. Tuttavia da fonti istituzionali qualificate e che non vogliono essere citate, abbiamo potuto apprendere che nel caso in cui venisse chiesto un riscatto per rimuovere i dati dal web la risposta della Regione sarebbe negativa. Anche perché, dicono, “i tecnici hanno alzato le difese e non sono più rientrati”. Che forse vuol dire che i delinquenti ci hanno comunque riprovato.

Resta l’allarme per i dati personali e di carattere sanitario presenti nella fuga di dati, al contrario moltissimi degli atti pubblicati dai delinquenti sono teoricamente pubblici e con un accesso agli atti chiunque potrebbe averli e controllare il comportamento della giunta in ogni singola seduta.

Però come nota un ricercatore in cybersecurity, il cagliaritano Dario Fadda che ha seguito la vicenda: “La sensibilità dei dati riportati nel leak è alta. Ci sono documenti di interesse pubblico ma anche personale e riservato. Ad esempio ho contato 26 video di riunioni interne, e poi documenti di abusi edilizi, materiale fotografico, materiale sulle concessioni edilizie e soprattutto informazioni che riguardano tutto il territorio regionale da Cagliari ad Alghero, da Sassari a Oristano, e dati e informazioni che non si trovano di sicuro sul sito web dell’Istituzione regionale”.

Nel momento in cui scriviamo sembra che la gestione dei documenti online in possesso del governo regionale non presenti disservizi. Tuttavia poiché i gruppi ransomware una volta entrati in possesso dei dati li restituiscono dietro pagamento ci si chiede se un riscatto sia stato già pagato oppure se la pubblicazione dei dati rubati serve a mettere pressione sulla preda.

Secondo Cybereason, azienda israeliana di cybersecurity, per mollare la presa la gang Mount Locker chiede un riscatto da $150 mila fino a diversi milioni di dollari a ogni vittima dandogli solo 72 ore di tempo per decidere e se non lo fanno scatta la seconda parte della strategia “steal and publish”, cioè “ruba e pubblica” i dati

E però c’è una storia nella storia. I dati relativi alla violazione dei database della Regione sono presentati all’interno di un avviso di riscatto relativo alla Confcommercio di Alessandria, come è d’abitudine per i delinquenti che in questo modo dimostrano di averceli.

Navigando il sito della gang si vede che i dati della Sardegna si trovano sotto al link di un “piccolo” sample da 30 mega che riguarda la Confcommercio di Alessandria, anch’essa bucata, mentre i 155 Gb che appartengono alla Regione Sardegna stanno sotto, appunto. Insomma, pare che il possesso, illegittimo, dei dati sardi non sia stato rivendicato con la giusta intestazione. Per cui la domanda rimane, hanno sbagliato loro o c’è una trattativa in corso?

Il ransomware Quantum Locker, da qui il nome del gruppo che lo opera, identificato da Cybereason nel 2021, ha infettato almeno 20 altre vittime importanti ed è un rebranding di un altro ransomware, MountLocker, scoperto nel 2020, il cui blog non è più attivo nel DarkWeb, ma il gruppo di hacker criminali che lo gestiva è noto per giocare come il gatto col topo con le sue vittime.