Il più grande furto di dati per una Pubblica Amministrazione Italiana

Quasi 170mila file in circa 155 giga di dati: documenti, delibere, contatti, elenchi di impiegati e non solo, che sono ora alla portata di tutti. Quello subito dalla Regione Sardegna lo scorso febbraio è forse il più grande furto di dati ai danni di una pubblica amministrazione di cui abbiamo notizia, come ha raccontato per primo Raffaele Angius su Indip. A effettuare il furto è la gang di cybercriminali Quantum Locker, gruppo su cui poco si sa se non che ha sviluppato un omonimo malware di tipo ransomware: si tratta di un software malevolo che cifra i dati sul computer della vittima, con lo scopo di chiedere un riscatto per decriptare i file. Un tipo di attacco che si è enormemente diffuso negli ultimi anni, come dimostra le vicende del Comune di Palermo e dell’Università di Pisa degli scorsi giorni.

Cos’è SardegnaIT

La vittima è SardegnaIT, società in-house della Regione Sardegna nata nel 2006. La società si occupa dell’infrastruttura tecnologica della Regione: dal portale istituzionale ai sistemi informativi di trasporti, fiscalità e sanità, SardegnaIT gestisce una quantità considerevole di servizi e con essi la relativa mole di dati sensibili.

Un autogol ha permesso il furto

Tutto parte lo scorso primo febbraio, quando cinquanta server di SardegnaIT vengono colpiti dal ransomware di Quantum. Indip ne ha avuto conferma dell’amministratore delegato della società, Alessio Grazietti. L’ipotesi riscatto viene scongiurata grazie alla presenza di alcune copie di backup dei dati, ma le notizie positive finiscono qui. Emerge in fretta come il furto sia frutto di un clamoroso autogol: la società non sarebbe stata presa di mira direttamente dal gruppo Quantum, ma il malware sarebbe stato installato per errore da un dipendente di SardegnaIT durante l’installazione di un software legittimo. È l’ennesima dimostrazione di come l’anello più debole di un sistema informatico sia spesso l’errore umano.

Dopo la violazione passano solo pochi giorni prima che si trovi traccia dei dati in un market illegale online: il gruppo Quantum chiede circa 31mila euro, pagabili in bitcoin, per l’intero archivio di dati. Come da prassi in questo tipo di compravendite, Quantum fornisce ai potenziali acquirenti un assaggio del prodotto in vendita, pochi mega di dati che confermano quanto si temeva: il furto coinvolge un’enorme quantità di documenti sensibili. La Regione Sardegna sembra però nascondere la testa sotto la sabbia: da febbraio a oggi non si registrano dichiarazioni o comunicati ufficiali sulla vicenda.

Online migliaia di documenti sensibili

Situazione che potrebbe cambiare dopo il 13 giugno: in quella data il gruppo Quantum ha reso l’intero archivio liberamente consultabile, in una modalità che lascia pensare a un altro errore, questa volta della gang di cybercriminali. Quantum stava infatti rivendicando un nuovo furto di dati, ma nell’annuncio ha inserito un link per accedere ai dati rubati a SardegnaIT. Wired, che ha scelto di indicare genericamente le risorse online per non facilitarne il rinvenimento, ha verificato il contenuto dell’archivio: quasi 170mila file, tra cui scansioni di carte d’identità, documenti con residenze, numeri di telefono e indirizzi mail privati di lavoratori e dirigenti, concessioni demaniali, turni di lavoro aggiornati allo scorso febbraio, planimetrie di edifici della regione in formato Cad.

FONTE: https://www.wired.it/article/sardegna-regione-ransomware-quantum-locker-dati/