Attacco al Lazio: la Regione ha recuperato il backup con i dati cancellati

Attacco al Lazio: la Regione ha recuperato il backup con i dati cancellati

Il backup è stato recuperato grazie a un "sistema di ultimissima generazione, protetto da hardware", ha detto il presidente della Regione Nicola Zingaretti

di pubblicata il , alle 11:15 nel canale Sicurezza
 

La Regione Lazio ha annunciato di aver recuperato i dati che un gruppo di hacker ha tentato di trafugare attraverso un attacco ransomware. A dare per primo la notizia è stato Corrado Giustozzi, consulente strategico, docente e divulgatore di cybersecurity, tramite un post su Facebook.

Attacco hacker Regione Lazio: dati recuperati grazie a VTL

"Confermo con gioia (e con l'autorizzazione di Regione e di LazioCrea) che la Regione Lazio ha recuperato i dati senza pagamento di riscatto" ha scritto Giustozzi. "Non decifrando i dati ma recuperando i backup sulla Virtual Tape Library che non erano stati cifrati ma solo cancellati dagli attaccanti per renderli indisponibili. Ma lavorando a basso livello, e grazie alle funzioni evolute della VTL, i tecnici di LazioCrea sono riusciti a recuperare tutto".

Attacco hacker Regione Lazio

L'attacco hacker, dunque, non sarebbe riuscito a crittografare anche il backup con i dati della Regione Lazio, ma si sarebbe limitato a cancellarlo. Questo avrebbe consentito di recuperare i dati senza il pagamento di un riscatto.

Lavorando a un livello di astrazione più basso e più vicino all'hardware, dunque, i tecnici della Regione sono riusciti a recuperare i dati sulla Virtual Tape Library, come dice Giustozzi. Le VTL usano tecnologia di virtualizzazione dell'archiviazione dei dati per scopi di backup e ripristino. Sembra che i tecnici siano riusciti a portare a termine con successo un'operazione di recupero sulle unità a nastro magnetico, che pare siano state sovrascritte, alla base della VTL.

L’annuncio del recupero dei dati è piuttosto sorprendente, perché è molto raro che gli attaccanti non riescano ad individuare i sistemi di backup dopo aver avuto accesso alla rete. L'attacco, avvenuto nella giornata di domenica, ha disabilitato i sistemi informatici della Regione e il portale di registrazione per le vaccinazioni COVID-19. A causa delle somiglianze con alcuni attacchi recentemente avvenuti a livello internazionale, sono intervenute anche FBI ed Europol. Nelle ultime ore sono emerse indiscrezioni secondo le quali l'attacco sarebbe avvenuto tramite il PC di un dipendente che lavorava in smart working.

55 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Silent Bob06 Agosto 2021, 11:33 #1
avevo letto ieri che si parlava di dati "cancellati" ma non era ancora chiaro del tutto il discorso.
fraussantin06 Agosto 2021, 11:44 #2
Il famoso backup nel cassetto chiuso a chiave?
cronos199006 Agosto 2021, 11:46 #3
Originariamente inviato da: fraussantin
Il famoso backup nel cassetto chiuso a chiave?
Da quanto capito un backup che era stato eliminato e non criptato, e che sono riusciti a recuperare.
fraussantin06 Agosto 2021, 11:48 #4
Originariamente inviato da: cronos1990
Da quanto capito un backup che era stato eliminato e non criptato, e che sono riusciti a recuperare.


Ah ecco la cancellazione rapida ... Mm
Speriamo bene allora ..


Peròo si tratta di una semplice botta di
SpyroTSK06 Agosto 2021, 12:22 #5
Originariamente inviato da: fraussantin
Ah ecco la cancellazione rapida ... Mm
Speriamo bene allora ..


Peròo si tratta di una semplice botta di


Decisamente culo, bastava che avessero avviato il job di backup e avrebbero perso tutto.
Silent Bob06 Agosto 2021, 12:22 #6
Originariamente inviato da: fraussantin
Ah ecco la cancellazione rapida ... Mm
Speriamo bene allora ..


Peròo si tratta di una semplice botta di


se la vai a raccontare a qualcuno che non conosce la storia pensa pure che lo stai prendendo per il cu*o.

Cioè, non riesci a criptare e allora cancelli sperando che qualcuno non se ne accorga?

Vediamo ora se tutto torna alla normalità, ma soprattutto entro quanto si ripristinerà tutto.
nyo9006 Agosto 2021, 13:03 #7
Rabbrividisco al pensiero che il sistema di backup fosse in copia unica e collegato direttamente al server. RABBRIVIDISCO.
I backup si fanno su supporti fisici offline chiusi a chiave.
In questo caso avrebbero dovuto aprire l'armadietto con i nastri e ricaricare l'ultimo backup, dei 30 a disposizione, privo di malware. Su un sistema di test, prima di immetterlo sul sistema definitivo.
Qui hanno recuperato un singolo backup, per pura fortuna, e se ne vantano pure. COMPLIMENTI.
Il mio NAS ha sistemi di backup e sicurezza superiori a quelli della regione Lazio, a quanto pare.
Silent Bob06 Agosto 2021, 13:16 #8
Originariamente inviato da: nyo90
Il mio NAS ha sistemi di backup e sicurezza superiori a quelli della regione Lazio, a quanto pare.

Il fatto è che la maggior parte della gente che fa quel lavoro O gli frega poco, O non gli interessa O pensa che cose del genere non possa capitare.
Quindi tu, hai giustamente una gestione del backup superiore di quanto hanno molte società a quanto pare (almeno di quanto si legge in rete).

Io so solo che per via di questa roba è tutto bloccato, fino a lunedì a quanto pare.
aqua8406 Agosto 2021, 13:17 #9
C è gia da essere contenti che C ERA UN BACKUP!!!

Battute a parte (ma nemmeno troppo battute...) qui c è chi parla di Nastri e chiusi a chiave... per caritá non metto in dubbio sia affidabile.

Ma sono sicuro che oggi ci sia modo di fare i backup in modo piu "semplice" e veloce.

Ovviamente bisognerebbe intanto capire bene COSA deve essere salvato dal backup, dopo di chè io farei dei backup giornalieri, fino a 7 giorni, su dispositivi diversi che vengono poi ovviamente scollegati a fine backup.

Questo significa che se venerdì prendo il ransomware anche mentre sto facendo il backup, ho comunque tutto giovedì salvato su un altro disco.

Raso a zero pc e disco di backup di venerdi e ricomincio da giovedì.
andy4506 Agosto 2021, 13:30 #10
Originariamente inviato da: fraussantin
Il famoso backup nel cassetto chiuso a chiave?


Qui le parole ufficiali di Zingaretti: https://www.romatoday.it/attualita/...dati-salvi.html

Pare che gli ingenti investimenti in sicurezza informatica della Regione Lazio siano serviti a qualcosa.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^