PHOTO
Prima il virus cryptolocker per bloccare i dati sensibili, poi la richiesta di riscatto di alcuni milioni di dollari per decrittarli: un attacco informatico ha colpito alcuni sistemi di Ferrovie dello Stato, obbligando l'azienda a sospendere in tutta Italia la vendita dei biglietti nelle stazioni per evitare ulteriori rischi di compromissione che avrebbero potuto mandare in crisi altri sistemi informatici, compresi quelli che gestiscono l'infrastruttura.
E ora il sospetto è che dietro all'attacco ci siano hacker russi, non entità statuali ma più probabilmente soggetti legati alla criminalità. L'attacco è scattato la scorsa notte: "Da stamani - fa sapere Ferrovie - sulla rete informatica sono stati rilevati elementi che potrebbero ricondurre a fenomeni legati ad un'infezione criptolocker". Si tratta in sostanza di un virus ransomware, un tipo di malware che blocca l'accesso al dispositivo infettato e rimuove le limitazioni solo dopo il pagamento di un riscatto: chi ha lanciato l'attacco è riuscito ad introdurlo nei sistemi compromettendo uno o più account degli amministratori di sistema o di chi, per conto di Ferrovie, gestisce alcuni servizi di Trenitalia.
Appena si sono accorti di essere sotto attacco, i tecnici e gli esperti della sicurezza informatica dell'azienda hanno disattivato a scopo precauzionale una serie di utenze dei sistemi di vendita fisici di Trenitalia. E questo perché al momento non è ancora stata individuata la porta attraverso la quale il virus è stato introdotto nei sistemi. La misura ha avuto come primo effetto quello di impedire al virus di diffondersi. Ma ha anche bloccato la vendita dei titoli di viaggio sia alle biglietterie sia alle macchinette self service nelle stazioni italiane. "I sistemi sono stati inibiti per motivi di sicurezza - ribadisce l'azienda - mentre è funzionante la vendita online e sono operativi gli altri sistemi online".
Ma da dove arriva l'attacco? "Allo stato attuale non sussistono elementi che consentano di risalire all'origine e alla nazionalità dell'attacco", sostiene Ferrovie sottolineando che i tecnici stanno lavorando in stretta collaborazione con l'Agenzia per la cybersicurezza e con il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale. L'obiettivo primario è risalire agli indirizzi Ip e ai server utilizzati per l'attacco e individuare la porta di accesso utilizzata dagli hacker. Fonti qualificate della sicurezza italiana, dopo le prime verifiche effettuate da tecnici e investigatori, ipotizzano però che dietro possano esserci degli hacker russi. Un'ipotesi che trova conferme sia nella tipologia d'attacco sia nel modus operandi.
Probabile, come già avvenuto in passato in altre situazioni e con altre aziende, che si tratti di criminali comuni e non di entità statuali, anche se quest'ultima tipologia di attacchi, sottolineavano i servizi d'intelligence nell'ultima relazione al Parlamento, ha registrato una forte crescita nel 2021, passando dal 5% al 23% del totale. Non vanno poi dimenticati i diversi alert che la stessa Agenzia per la cybersicurezza ha lanciato più volte nell'ultimo mese, con l'intensificarsi della crisi in Ucraina.
Il primo il 14 febbraio, prima ancora dello scoppio della guerra, con il quale si invitavano le aziende ad innalzare i livelli di protezione delle infrastrutture digitali: la crisi in Ucraina "fa aumentare i rischi cibernetici ai quali sono esposte le imprese italiane che intrattengono rapporti con operatori situati in territorio ucraino". Il giorno dell'invasione da parte dei carri armati di Putin è arrivata la nuova raccomandazione "ad adottare misure di difesa cibernetica alte e massimi controlli interni". E quattro giorni dopo, il 28 febbraio, l'ultimo avviso: serve una "postura di massima difesa cibernetica", applicando "tutte le misure di prevenzione e controllo più urgenti".