Milano, 23 marzo 2022 - Non solo Trenitalia e Rfi ma anche Trenord, in quanto i sistemi di bigliettazione sono parzialmente collegati a Fs, vittima dell'attacco informatico di ieri. Rfi e Trenitalia stanno procedendo, con tutte le cautele necessarie, alle attività di controllo e progressiva riattivazione di alcuni dei sistemi che ieri erano stati inibiti in via cautelativa, per prevenire ulteriori infezioni delle utenze. Al momento restano attivi solo parzialmente o a singhiozzo i sistemi informativi in diverse stazioni italiane. Le cause della persistenza di alcuni disservizi (problemi ai tabelloni orari o biglietterie automatiche fuori uso) segnalati in alcune città, a quanto si apprende da Rfi e Trenitalia, sarebbero dovute ad un'attività di controllo e di progressiva riattivazione di alcuni dei sistemi che ieri erano stati disattivati in via cautelativa, per prevenire l'ulteriore diffondersi del virus informatico. La progressiva riattivazione, che necessita di tempi tecnici prestabiliti per garantire che avvenga in sicurezza e con tutte le cautele necessarie, dovrebbe quindi avvenire gradualmente nell'arco delle prossime ore. Come ieri, la circolazione dei treni passeggeri sta procedendo regolarmente così come i sistemi di vendita dei biglietti online.
"Oggi stiamo seguendo la situazione per limitare l'eventuale contagio, ma da domani puntiamo ad essere in condizione di riprendere normalmente. Poi dipende da Ferrovie dello Stato capire come riescono a risolvere il problema", ha spiegato l'amministratore delegato di Trenord, Marco Piuri, facendo il punto della situazione sugli effetti sul trasporto ferroviario lombardo, dell'attacco hacker di ieri al sistema informatico di Trenitalia. "Quello che sta succedendo è che con l'attacco di ieri, siccome anche Trenord ha un sistema di bigliettazione collegato a quello di Trenitalia, siamo stati toccati anche noi da questo attacco - ha aggiunto -. Abbiamo dovuto bloccare la vendita attraverso gli sportelli, mentre la vendita è continuata in via digitale. In stazione è possibile acquistare i biglietti nelle biglietterie automatiche".
Dalle prime ore di questa mattina si registrano disservizi al sistema informativo nelle stazioni di Venezia-Santa Lucia e Mestre. I tabelloni orari riportano ritardi e corse cancellate, nonostante i convogli circolino regolarmente. Turisti e pendolari, disorientati, sono indirizzati ai binari, con non poca fatica, da una voce guida in filodiffusione e da personale di Ferrovie dello Stato. Per il momento Trenitalia non ha rilasciato dichiarazioni ufficiali, difficile dire, quindi, se il disservizio sia o meno ricollegabile all'attacco informatico di ieri. Per il momento, continuano ad essere chiuse le biglietterie e fuori uso le emettitrici automatiche. Difficoltà sarebbero state ravvisate da alcuni viaggiatori anche nell'acquisto dei titolo di viaggio online.
Alla stazione di Roma Termini gli annunci di arrivi e partenze dei treni vengono fatti solo attraverso il personale perché i monitor sono fuori servizio. È quanto si apprende dalla Polfer. Anche le biglietterie sono chiuse e fuori servizio. Agenti della Polfer stanno dando assistenza ai passeggeri e monitorano la situazione.
Gli hacker avevano prima introdotto nei sistemi un virus cryptolocker per bloccare i dati sensibili, poi hanno chiesto un riscatto di alcuni milioni di dollari per decrittarli, obbligando l'azienda a sospendere in tutta Italia la vendita dei biglietti nelle stazioni per evitare ulteriori rischi di compromissione che avrebbero potuto mandare in crisi altri sistemi informatici, compresi quelli che gestiscono l'infrastruttura. Resta il sospetto che dietro all'attacco ci siano hacker russi, non entità statuali ma più probabilmente soggetti legati alla criminalità. Si tratta in sostanza di un virus ransomware, un tipo di malware che blocca l'accesso al dispositivo infettato e rimuove le limitazioni solo dopo il pagamento di un riscatto: chi ha lanciato l'attacco è riuscito ad introdurlo nei sistemi compromettendo uno o più account degli amministratori di sistema o di chi, per conto di Ferrovie, gestisce alcuni servizi di Trenitalia.
Secondo quanto ricostruito dall'agenzia Agi pochi minuti dopo l'accatto hacker ad opera della gang di hacker russo-bulgaro Hive sono comparse (erroneamente) prima su un canale del social network Twitch e poi su un noto canale Telegram le credenziali di accesso a una chat riservata dove discutere i termini del riscatto chiesto per riavere i dati bloccati con l'azienda. Credenziali apparse per poco tempo ma che hanno permesso a molti di chattare con gli hacker.Agi è riuscita a visionare i messaggi. In uno di questi messaggi un utente chiede in inglese agli hacker "ma ci avete attaccato perché l'Italia appoggia l'Ucraina?", in un altro un operatore chiede usando invece l'italiano "Vorrei sapere come recuperare i dati privati. Grazie. Non conosco l'inglese" o un altro ancora scrive "A fare i ransomware che c'hai 30 anni! Stai rovinato, riprenditi" o "Prega la madonna di Kiev". Il tutto condito poi con link a siti improbabili, frasi di netta chiusura "bruciate pure i dati, non pagheremo" o "avete hackerato la compagnia sbagliata". Uno dei pochi messaggi seri sembra essere quello della richiesta di riscatto del gruppo hacker: alle 13.34 scrivono "Se pagate entro i prossimi 3 giorni sono 5 milioni di dollari in Bitcoin, dopo questo termine saranno 10milioni". Richiesta poi rivista alle 21.26 quando la gang di hacker scrive "Ringraziate la persona che ha pubblicato i dati di accesso a questo chat. Da questo punto in poi il prezzo [del riscatto, ndr] sale a 10 milioni di euro".
In uno scenario geopolitico sempre più complesso anche la cyberwar diventa più' complessa. E se fino a poche settimane fa il compito principale era comprendere chi e in che modo aveva condotto l'attacco, oraèe' sempre più urgente comprendere il perché'. Se il caso di ferrovie, quasi certamente, è stato frutto di meri motivi economici, le circostanze causate dall'attuale situazione di innalzato allarme causato dal conflitto ucraino rendono necessario un ripensamento dell'approccio alla gestione di questo tipo di attacchi. Nelle prime ore dell'attacco, infatti, è stato ipotizzato che i colpevoli, la gang di hacker nota come Hive, di estrazione russo-bulgara e dichiaratamente filorussa, avessero colpito Ferrovie dello Stato come conseguenza delle recenti prese di posizione dell'Italia a favore di Kiev. "Anche se con ogni probabilità questo non era il motivo, da ora in avanti - spiega Pierguido Iezzi, Ceo di Swascan (Tinexta cyber) - la situazione impone che accanto all'analisi di Tecniche, Tattiche e Procedure (TTP) utilizzate dagli attaccanti si cominci ad indagare su Mezzi, Opportunità e Movente (MOM) dei Criminal Hacker per fare un distinguo tra attacco a scopo di lucro, operazione di Cyber War, false flag o situazioni di connivenza. Per questo - spiega l'esperto - devono essere rafforzati i legami tra pubblico e privato per rafforzare la difesa digitale del nostro paese. L'obiettivo è creare un deterrente cibernetico in grado di schierare e unire le necessarie competenze, strumenti e tecnologie italiane utili non solo a scoraggiare attacchi, ma anche ad attuare politiche proattive".
"Incerta la provenienza dei componenti del gruppo, sebbene l'uso del cirillico all'interno di forum sul Dark Web li iscriva all'area dell'Europa orientale - prosegue Pierguido Iezzi - Altri indizi utili sono la provenienza russa dell'amministratore di Hive, admin kkk, e il rilevamento lo scorso 6 febbraio di un nuovo ransomware, Nokoyama, di matrice cinese, considerato uno spinoff proprio di Hive. Fondamentale in questo contesto è comprendere la motivazione del cyber attacco contro Fs: ritorsione o semplice ricatto? Tutto lascia propendere per la seconda ipotesi, ma in ogni caso, trattandosi di una infrastruttura critica, è doverosa la massima attenzione".