Estorsione hacker alle Ferrovie: in tilt la rete informatica. Fs e polizia: non conosciamo la nazionalità

Un attacco hacker a scopo estorsivo attraverso un cosiddetto criptolocker, un lucchetto virtuale digitale, ha paralizzato, da stamattina, la rete informatica delle Ferrovie dello Stato tanto che, per sicurezza, l’azienda ha disattivato i sistemi di pagamento fisici.

Le Ferrovie dello Stato hanno fatto sapere, nel tardo pomeriggio, che stanno lavorando in stretta collaborazione con l’Agenzia per la Cybersicurezza Nazionale e con il Cnaipic, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche con controlli e verifiche approfondite su quanto accaduto ma precisano che, allo stato attuale,  non sussistono elementi che consentano di risalire all’origine e alla nazionalità degli autori dell’attacco informatico.

Secondo fonti cyber definite qualificate e citate dall’Adnkronos, invece, l’attacco hacker alle Ferrovie italiane è riconducibile ad hacker russi, non collegati ad apparati di intelligence di Mosca, che fanno parte di una “crew criminale” con base in Russia ma con ramificazione in altri paesi e che agisce a fini estorsivi.
In definitiva si tratta, come si dice in gergo, di attacco criminale e non “statuale“.

Gli accertamenti, sostengono le fonti citate dall’Adnkronos, sono ancora in corso ma è quasi certo che il ‘team di hacker criminali‘, attivo dal 2021, sia lo stesso che ha già colpito negli Stati Uniti, in Germania, Cina, in Indonesia e recentemente (proprio ieri) anche nei confronti di un importante gruppo chimico industriale in Italia, Polynt Group.

Interpellata dall’Adnkronos, la multinazionale del settore chimico si è limitata a confermare l’attacco senza fornire ulteriori dettagli in merito ad un eventuale riscatto e a eventuali danni subiti.

A far propendere per questa ipotesi della “crew criminale” con base in Russia la “firma” lasciata da questo “team” attraverso un ben definito modus operandi nella tipologia di attacco messo in atto.

“Non è ancora limpida la situazione che circonda l’attacco di questa mattina contro i sistemi informatici e le biglietterie di Ferrovie dello Stato – ammette Pierguido Iezzi, Ceo di Swascan, polo italiano della cybersicurezza del Gruppo Tinexta. – Quello che sappiamo per certo al momento è che il malware utilizzato è di tipo ransomware e che a scatenare l’attacco è stata la gang Hive“.

“Incerta la provenienza dei componenti del gruppo, sebbene l’uso del cirillico all’interno di forum sul Dark Web li iscriva all’area dell’Europa orientale – prosegue Iezzi. – Altri indizi utili sono la provenienza russa dell’amministratore di Hive, admin kkk, e il rilevamento lo scorso 6 febbraio di un nuovo ransomware, Nokoyama, di matrice cinese, considerato uno spinoff proprio di Hive”.

“Fondamentale in questo contesto è comprendere la motivazione del cyber attacco contro Fs: ritorsione o semplice ricatto? Tutto – dice Iezzi – lascia propendere per la seconda ipotesi, ma in ogni caso, trattandosi di una infrastruttura critica, è doverosa la massima attenzione”.

La circolazione ferroviaria prosegue regolarmente e i sistemi di vendita nelle stazioni – biglietterie e self service – sono stati inibiti per motivi di sicurezza, mentre gli altri sistemi online sono operativi.

Insomma non è temporaneamente possibile acquistare titoli di viaggio nelle biglietterie e self service nelle stazioni, mentre è funzionante la vendita online. Anche la prenotazione dei servizi delle Sale blu di Rfi potrebbe non avvenire con la consueta regolarità.

I passeggeri sprovvisti di biglietto saranno regolarizzati a bordo treno senza sovrapprezzo: sono autorizzati a salire a bordo treno e presentarsi al capotreno per acquistare il biglietto.

Le disfunzioni registrate non impattano m, sostiene Ferrovie, sulla circolazione ferroviaria che procede con regolarità.