Incidente dati Sri Lanka: attacco ransomware colpisce governo

Il governo dello Sri Lanka ha recentemente reso noto un grave incidente di perdita di dati che ha coinvolto oltre 5000 account di posta elettronica nel periodo da maggio ad agosto 2023. Secondo le autorità, la causa principale di questo incidente è da attribuirsi a un attacco informatico, nello specifico una variante ransomware. Purtroppo, la situazione è stata ulteriormente aggravata dal fatto che anche i server di backup sono stati compromessi, rendendo il recupero dei dati un'impresa estremamente difficile.

Software obsoleto e vulnerabile

L'Information and Communication Technology Agency dello Sri Lanka (ICTA) ha individuato la principale causa di questo incidente nell'uso di un software obsoleto, il Microsoft Exchange 2013, che non è più supportato dall'azienda. Questo software obsoleto era stato installato sulla Lanka Government Network (LGN), una rete critica utilizzata da entità governative chiave come l'Ufficio di Gabinetto, i funzionari presidenziali, il Ministero dell'Istruzione e il Ministero della Salute. Le implicazioni di questa grave violazione dei dati potrebbero rivelarsi disastrose, data la sensibilità dei dati coinvolti.

Problemi finanziari e ritardi negli aggiornamenti

Secondo Mahesh Perera, CEO di ICTA, tutti gli account di posta elettronica Gov.lk sono stati compromessi dall'attacco malware, che è stato scoperto per la prima volta il 26 agosto di quest'anno. Sebbene non abbia espressamente definito questa situazione come un errore nell'aggiornamento del software, ha suggerito che le necessarie revisioni dei servizi di Microsoft Exchange erano state rimandate sin dal 2021. Purtroppo, i piani di aggiornamento erano stati bloccati a causa di limitazioni finanziarie nel bilancio governativo e delle sfide economiche globali affrontate dal paese.

Rifiuto di negoziare con gli autori dell'attacco

Perera ha chiarito che il governo dello Sri Lanka non ha intenzione di trattare o pagare un eventuale riscatto agli autori dell'attacco informatico. In altre parole, non verrà presa in considerazione nessuna richiesta di estorsione. Al momento, non vi è ancora una conferma ufficiale sull'identità degli aggressori, nonostante una fonte non ufficiale abbia suggerito l'attribuzione dell'incidente al LockBit Ransomware o al gruppo criminale BlackCat di lingua russa. È importante sottolineare che questo incidente si è verificato in un contesto di alta inflazione e deprezzamento della rupia nello Sri Lanka, aggravando ulteriormente le sfide che il paese deve affrontare.