Il countdown è scaduto ieri sera alle 23. E per tutta la notte i tecnici della postale hanno sorvegliato il dark web, per verificare se i dati sottratti alla Regione durante l'aggressione siano in vendita o disponili. L'ultimatum dei cyber criminali, generato in automatico dal ransomware, il virus che chiede anche il riscatto, era chiaro: non chiamate la polizia e non tentate di intervenire sul sistema, i file potrebbero essere cancellati. L'orologio a margine della schermata segnava il tempo rimasto, contando anche i secondi. Fino alle 23 del 6 agosto. Ieri, intanto, Nicola B., il dipendente di 61 anni della Regione Lazio, che attraverso il suo account ha aperto le porte del Ced del Lazio agli hacker, è stato sentito dagli uomini della postale e del Cnaipic (La centrale contro il crimine informatico) per tre ore. Ha negato di essersi collegato con siti pericolosi e anche che altri familiari avessero accesso al computer. E' apparso tranquillo, ma, poi, quando è stato chiamato dal suo capo ufficio, ha iniziato a sentire il cuore che andava all'impazzata: «Sono in un tritacarne», ha detto, mentre avvertiva un dolore acuto al petto. Adesso è ricoverato all'ospedale di Frosinone. Il suo pc, in queste ore, viene passato ai raggi x. Si va indietro, si cercano tracce. A ritroso, attraverso i link, i siti e gli indirizzi Ip che si sono collegati al computer.
Interrogato l’impiegato intestatario dell’account «bucato» dagli hacker, poi il ricovero in ospedale
L'interrogatorio - L'impiegato, che lavora nell'Area Enti Locali, ha ripercorso davanti alla polizia, minuto per minuto, il lavoro svolto al computer tra sabato e domenica. «Stando a casa - ha detto - mi capita spesso di lavorare anche di notte, tra le 2 e le 3.
La rivendicazione - Adesso ci si aspetta una mossa dagli hacker, che avevano invitato l'amministratore dell'azienda a contattarli: «Nel caso tu non abbia il diritto di parlare a nome di questa azienda, non provare a contattarci. Qualsiasi contatto non autorizzato aumenterà l'importo del riscatto», si legge nella schermata comparsa dopo la prima comunicazione con la quale i cyber criminali avevano annunciato l'attacco e la criptazione del file. Il messaggio continuava: «Possiamo condividere queste informazioni solo con la persona autorizzata. Queste misure sono necessarie per mantenere la piena riservatezza del nostro accordo». E ancora: «Puoi consultarti con qualcuno del tuo ufficio informatico, questo ci aiuterà ad evitare ogni futuro fraintendimento. I tuoi file sono stati criptati con la crittografia più recente. Ricorda che qualsiasi tentativo di modifica e tentativo di rinominare i file crittografati causerà un grave danno ai documenti». La trattativa prevedeva una prova: «Inviaci il tuo indirizzo email e carica uno dei file crittografati, quando il file verrà caricato, la cartella di caricamento sarà eliminata. Questo file verrà decifrato come prova, per dimostrarti la capacità di decriptare gli altri file. Non ti daremo un'altra possibilità di decifrare un file e lasciare email».
Il riscatto - Il messaggio generato automaticamente dal virus continua: «Non provare nemmeno a imbrogliarci, ti contatteremo quando ci invierai un file prova. Dopo il pagamento, tutti tuoi dati verranno decriptati. Devi risponderci in un giorno altrimenti l'importo del riscatto verrà aumentato, ma avrai un'altra opportunità per caricare il file di test. Ti preghiamo di non contattarci tramite Gmail, Yahoo, Hotmail, Live, parliamo solo in inglese. La scelta migliore è Protonmail: i tuoi server di posta possono bloccare i nostri messaggi». Infine, l'invito a non chiamare la polizia: «Attenzione non chiamare la polizia, perché bloccherà tutti i tuoi conti bancari per impedire il pagamento. E poiché tu non sarai nelle condizioni di pagare, tutti i tuoi messaggi crittografati andranno perduti. Tieni presente che hai un tempo limitato per prendere una decisione Quindi, hai una possibilità adesso. Se vuoi ripristinare i tuoi dati contattaci ora». Nessuno sarebbe stato contattato, i dati sono stati recuperati. E così, questa notte, gli hacker potrebbero davvero avere diffuso le informazioni rubate. La polizia postale è in allerta.