Nessun riscatto chiesto a seguito dell’attacco informatico a Fs e nessun collegamento certo con gli hacker russi. Lo chiarisce il Gruppo Ferrovie dello Stato. “Le aziende del Gruppo Fs Italiane non hanno ricevuto richieste di riscatto dopo l’attacco hacker”, si puntualizza, evidenziando che “allo stato attuale non sussistono elementi che consentano di risalire all’origine e alla nazionalità dell’attacco informatico”.
Ferrovie dello Stato sta lavorando in stretta collaborazione con l’Agenzia per la Cybersicurezza Nazionale e con la Polizia di Stato. “In particolare il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic) della Polizia Postale è impegnato a condurre tutti gli adeguati controlli e verifiche su quanto accaduto oggi – si legge – La circolazione ferroviaria prosegue regolarmente e i sistemi di vendita nelle stazioni (biglietterie e self service) sono stati inibiti soltanto per motivi di sicurezza, mentre gli altri sistemi online sono operativi. I viaggiatori sprovvisti di biglietto saranno regolarizzati a bordo treno senza sovrapprezzo”.
E proprio il direttore dell’Agenzia nazionale per la cybersicurezza ribadisce quanto spiegato da Fs. “No alla psicosi dell’attacco collegato alla guerra in Ucraina. Qui c’è una matrice criminale come altrove – dice Roberto Baldoni in una intervista a Il Corriere della Sera – E’ un attacco hacker, simile ad altri che hanno colpito aziende e infrastrutture anche in Italia negli ultimi tempi”. E ricorda che l’Agenzia è nata proprio per aumentare la capacità di resilienza di queste infrastrutture, “soprattutto quando a essere colpiti sono attori rilevanti, come le Ferrovie”.
Baldoni spiega come agiscono gli hacker: “Ogni crew cybercriminale individua i punti di vulnerabilità informatica di un’azienda che poi sfrutta per entrare nei suoi sistemi”. “Per le grandi società è importante aggiornare decine di migliaia di dispositivi connessi in rete in Italia e spesso all’estero”, consiglia.
Quanto all’attuale situazione, osserva che “nel contesto di crisi ucraina, dal 14 gennaio scorso abbiamo inviato circa ottomila alert in particolare ad aziende che fanno parte del perimetro di sicurezza cibernetica – sottolinea – Alcune di queste comunicazioni hanno anche riguardato compagnie piccole e medie che avevano delocalizzato la produzione in Ucraina e che usavano gli stessi sistemi di autenticazione adottati in Italia”. In generale sottolinea che dall’inizio della guerra gli attacchi hacker in Italia non sono aumentati: “Sono sullo stesso livello del periodo precedente alla crisi ucraina. A livello globale c’è stato però un aumento dopo il 14 febbraio scorso a seguito della crisi ucraina”.
Anche il direttore della Polizia Postale, Ivano Gabrielli, evidenzia come l’attacco sia “ascrivibile a fenomeni criminali internazionali già noti che hanno colpito diverse realtà industriali nel mondo”, spiega all’agenzia di stampa La Presse.
Ancora qualche disagio per gli utenti
A seguito dell’attacco informatico al momento non sono disponibili informazioni e aggiornamenti sulla circolazione attraverso i consueti canali online di Trenitalia mentre per l’acquisto dei biglietti sono disponibili App Trenitalia e sito web Trenitalia.com con la possibilità di salire a bordo treno e presentarsi al capotreno per acquistare il biglietto senza sovrapprezzo.
Fs fa però sapere a CorCom che “Rfi e Trenitalia stanno procedendo, con tutte le cautele necessarie, alle attività di controllo e progressiva riattivazione di alcuni dei sistemi che ieri erano stati inibiti in via cautelativa, per prevenire ulteriori infezioni delle utenze. La progressiva riattivazione necessita di tempi tecnici incomprimibili per garantire che avvenga in sicurezza”.
“All’origine di alcune anomalie segnalate stamani, da viaggiatori e alcuni media, soprattutto ai sistemi di informazione al pubblico nelle stazioni, non è quindi il virus informatico quanto il processo di riattivazione in corso – prosegue Fs – Un processo che ha appunto i suoi tempi e viene eseguito dopo lo stop cautelativo di ieri che ha impedito al virus di procurare danni superiori a quelli registrati. Danni estremamente circoscritti grazie al rapido intervento della cybersecurity di Ferrovie. Intanto i treni passeggeri circolano regolarmente, mentre si registrano alcune cancellazioni e rallentamenti nel traffico merci, sempre dovuto all’inibizione cautelativa di alcuni sistemi informativi anch’essi in corso di riattivazione”.
Colpita anche Trenord
L’attacco hacker ha coinvolto anche Trenord che ha un sistema di bigliettazione collegato a quello di Trenitalia. “Abbiamo dovuto bloccare la vendita attraverso gli sportelli, mentre la vendita e’ continuata in via digitale – ha spiegato l’Ad, Marco Piuri – In stazione è possibile acquistare i biglietti nelle biglietterie automatiche. Oggi stiamo seguendo la situazione per limitare l’eventuale contagio, ma da domani puntiamo ad essere in condizione di riprendere normalmente. Poi dipende da Ferrovie dello Stato capire come riescono a risolvere il problema”.
Pubblicate per errore le chat con gli hacker
Su un canale del social network Twitch e poi su un noto canale Telegram sono state pubblicate le credenziali di accesso ad una chat riservata dove discutere i termini del riscatto chiesto per riavere i dati bloccati con l’azienda. Credenziali apparse per poco tempo ma che hanno permesso a molti di chattare con gli hacker. L’Agi è riuscita a visionare i messaggi. In uno di questi messaggi un utente chiede in inglese agli hacker “ma ci avete attaccato perche’ l’Italia appoggia l’Ucraina?”, in un altro un operatore chiede usando invece l’italiano “Vorrei sapere come recuperare i dati privati. Grazie. Non conosco l’inglese” o un altro ancora scrive “A fare i ransomware che c’hai 30 anni! Stai rovinato, riprenditi” o “Prega la madonna di Kiev”.
Il tutto condito poi con link a siti improbabili, frasi di netta chiusura “bruciate pure i dati, non pagheremo” o “avete hackerato la compagnia sbagliata”. Uno dei pochi messaggi seri sembra essere quello della richiesta di riscatto del gruppo hacker: alle 13.34 scrivono “Se pagate entro i prossimi 3 giorni sono 5 milioni di dollari in Bitcoin, dopo questo termine saranno 10milioni”. Richiesta poi rivista alle 21.26 quando la gang di hacker scrive “Ringraziate la persona che ha pubblicato i dati di accesso a questo chat. Da questo punto in poi il prezzo (del riscatto, ndr) sale a 10 milioni di euro”.
L’attacco hacker
Ieri in mattinata Fs faceva sapere di aver rilevato sulla rete IT aziendale “elementi che potrebbero ricondurre a fenomeni legati a un’infezione da cryptolocker“, un cyberattacco che blocca i sistemi informatici al fine di estorcere un riscatto.
Il cryptolocker è una forma di ransomware che cripta i dati della vittima, richiedendo poi un pagamento per la decriptazione. Secondo un recente report Trend Micro, gli attacchi ransomware nel 2020 sono aumentati del 150% su base annua con un raddoppio della quantità media di estorsioni. Un trend che mette a rischio le organizzazioni vittima non solo dal punto di vista finanziario ma anche reputazionale: il costo medio di una violazione supera i 4,2 milioni di dollari, ma la cifra può raggiungere livelli più elevati se è coinvolto il ransomware.
