Nella giornata di ieri, le prime notizie in merito a un attacco ransomware subito da Trenitalia e da RFI. Diverse le ipotesi formulate fin da subito, alcune delle quali riconducibili a una presunta azione proveniente dalla Russia e diretta a un’infrastruttura strategica del nostro paese, in risposta al supporto fornito dall’Italia a Kiev. Sospetta la tempistica, quasi in concomitanza con l’intervento di Zelensky a Montecitorio. Dall’inizio della guerra in Ucraina in poi, l’allerta è massima.
In questo caso però, nonostante la provenienza dell’azione sia da collocare geograficamente in quell’area, la responsabilità non sembra poter essere attribuita al Cremlino o a realtà associate. Le indagini svolte puntano nella direzione di Hive, gruppo di cybercriminali prevalentemente russo-bulgaro che risponde unicamente alla logica del profitto. È ben noto agli addetti ai lavori e opera con un modello di tipo RaaS (ransomware as a service), mettendo il codice maligno a disposizione di altre gang.
Attacco a Trenitalia: Hive e il riscatto da 5 milioni
Sappiamo che l’attacco ha messo fuori uso le biglietterie nelle stazioni, sia quelle allo sportello sia i distributori automatici. Per un’intera giornata è stato possibile acquistare i tagliandi di viaggio solo online oppure direttamente a bordo dei treni. Secondo quanto trapelato, sarebbe stato chiesto il pagamento di un riscatto da 5 milioni di euro entro tre giorni dalla violazione, ovviamente da versare in criptovalute. In caso di mancato trasferimento dei fondi nei termini e con le modalità stabilite, la cifra raddoppierà.
Non sono da escludere ripercussioni per i dati dei clienti e dei dipendenti, così come per quelli gestiti da Trenitalia e RFI. Al momento non sappiamo se le parti si siano messe in comunicazione o meno.
Baldoni (ACN): non trattare con i cybercriminali
Dalle pagine del Corriere, Roberto Baldoni (direttore dell’Agenzia per la Cybersicurezza Nazionale), ribadisce che cedere alla pressione dei cybercriminali e mettere mano al portafogli non è mai la migliore delle scelte.
Dal mio punto di vista non bisogna trattare mai. Bisogna invece aumentare la consapevolezza e le pratiche di prevenzione e mitigazione. Capire che siamo entrati in un nuovo mondo dove il rischio informatico è sempre presente e va gestito nel nostro pc di casa fino ai sistemi delle grandi aziende.
Inviare Bitcoin o altre criptovalute in seguito alla compromissione dei propri sistemi non garantisce il diritto di rientrare in possesso dei dati cifrati. Si sta pur sempre interagendo con una gang criminale, che dopo aver incassato potrebbe sparire o avanzare altre richieste.