Cosa sappiamo dell’attacco ransomware a Ferrovie

Nella mattina del 23 marzo quelli che all’apparenza sembrano disservizi bloccano alcuni sistemi di vendita di Trenitalia e Ferrovie dello Stato: macchine self service e biglietterie nelle stazioni non funzionano. La ragione però è un’altra. A spegnere una parte della rete di bigliettazione è la stessa azienda, che ha individuato delle macchine colpite da un attacco ransomware. Un’azione per circoscrivere la violazione informatica.

Cosa sappiamo

Ad attaccare Ferrovie è un cryptolocker, un tipo di malware che cripta i dati della vittima e chiede un riscatto in cambio della chiave di decrittazione. Un’operazione attribuita inizialmente, da una fonte vicina agli ambiti della sicurezza all’agenzia stampa Ansa, a mano russa. “In questo momento non abbiamo elementi per stabilire l’attribuzione”, spiega a Wired Ivano Gabrielli, direttore della Polizia postale, il cui Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) è coinvolto insieme alla neonata Agenzia per la cybersicurezza nazionale (Acn) nelle attività di remedation e analisi della violazione. 

Al momento per noi la manovra si situa nell’alveo della criminalità informatica”, aggiunge Gabrielli. In un’intervista al Corriere della sera anche Roberto Baldoni, direttore dell’Acn, ha confermato “la matrice criminale”. La Polizia postale avrebbe già identificato la famiglia di ransomware a cui collegare l’attacco a Trenitalia e Ferrovie, ma al momento tiene il nome coperto perché utile alle indagini.

Gabrielli spiega che in Ferrovie “chi doveva vedere i segnali di un attacco informatico, li ha individuati”. Questo ha permesso di segregare le reti, già compartimentate. “Oltre alle macchine colpite, legate solo ad alcuni segmenti, altre aree sono state segretate in via precauzionale”, spiega il numero uno della Postale. “Gli altri sistemi online sono operativi”, ha comunicato Ferrovie e si conta di ripristinare al più presto la vendita anche in stazione.

Gli aspetti da chiarire

Restano da chiarire le dinamiche della violazione (come il cryptolocker sia penetrato nei sistemi di Ferrovie), i tempi e la mano. In un primo momento è stato puntato il dito su un’operazione russa, con un implicito sottinteso: l’attacco cibernetico è una ritorsione per le sanzioni elevate contro Mosca dopo l’invasione dell’Ucraina. 

Fonte : Wired