Biglietterie ancora fuori servizio per l’attacco hacker contro Ferrovie dello Stato che ha interrotto la vendita dei biglietti in stazione da ieri mattina. Nelle stazioni impossibile acquistare i biglietti né in biglietteria né ai self service al momento. “Le attività sospette sulla rete dell’azienda indicano un attacco simile a quelli che utilizzano il ransomware CryptoLocker”, ha affermato ieri Ferrovie in una nota. “Al momento non è possibile dire quando saranno ripristinate, la circolazione ferroviaria è proseguita tutto il giorno in maniera regolare. Sta circolando la notizia di una presunta richiesta di riscatto della quale non abbiamo contezza”, ha dichiarato Marco Mancini, capo ufficio stampa del Gruppo FS Italiane, al Tg1 ieri sera. “È ipotizzabile che l’attacco informatico alle Ferrovie che ha bloccato alcuni sistemi della società sia riconducibile alla Russia”. A scriverlo ieri è stata l’Ansa riportando fonti qualificate della sicurezza italiana. Secondo le fonti istituzionali dell’Ansa, “la tipologia dell’attacco e il modus operandi con il quale è stato realizzato sarebbero infatti riconducibili ad hacker russi”. Proprio a inizio mese il Csirt (Computer Security Incident Response Team), struttura istituita presso l’Agenzia per la cybersicurezza nazionale (Acn), aveva diramato un alert per possibili attacchi informatici in Italia legati al conflitto in Ucraina. Ipotesi esclusa da Fs. “Allo stato attuale non sussistono elementi che consentano di risalire all’origine e alla nazionalità dell’attacco informatico”, ha precisato ieri Ferrovie. E smentita anche dalla stessa Agenzia per la cybersicurezza nazionale. “Solo criminali dietro l’attacco hacker alle Ferrovie” ha dichiarato al Corriere della Sera, Roberto Baldoni, direttore dell’Acn. “No alla psicosi dell’attacco collegato alla guerra in Ucraina. Qui c’è una matrice criminale, come altrove”, ha sottolineato Baldoni. Tutti i dettagli. COSA È SUCCESSO Il 23 marzo il Gruppo Fs ha fatto sapere che sulla rete informatica aziendale “sono stati rilevati elementi che potrebbero ricondurre a fenomeni legati a un’infezione da cryptolocker: sono in corso le attività di verifica sulla rete”. Con cryptolocker si intende un tipo di ransomware che cifra i dati del computer (di fatto bloccandolo) e chiedendo il pagamento di un riscatto per ripristinarli. “Il cyber attacco sarebbe stato realizzato con un virus ransomware introdotto attraverso uno degli account degli amministratori del sistema o di chi gestisce i servizi informatici di Fs” segnala il Sole 24 Ore. SPENTI I TERMINALI DI VENDITA In via precauzionale, ha precisato Fs, sono state disattivate alcune utenze dei sistemi di vendita fisici di Trenitalia. Pertanto, non è temporaneamente possibile acquistare titoli di viaggio nelle biglietterie e self service nelle stazioni, mentre è funzionante la vendita online. “Anche la prenotazione dei servizi delle Sale blu di Rete ferroviaria italiana potrebbe non avvenire con la consueta regolarità”, ha aggiunto la società, sottolineando che i passeggeri sono autorizzati a salire a bordo treno e presentarsi al capotreno per acquistare il biglietto senza sovrapprezzo. Le disfunzioni registrate, conclude la nota di ieri, non impattano sulla circolazione ferroviaria, che procede con regolarità. “Fino a tarda sera però non era ancora stata individuata la porta dalla quale sarebbe entrato il virus e per questo sono stati bloccati una serie di servizi (le biglietterie, appunto): se fossero rimasti attivi si sarebbe corso il rischio che il virus si propagasse ad altri sistemi informativi, bloccando ulteriori servizi, mettendo a rischio la stessa circolazione dei treni. Una serie di verifiche e accertamenti sono in corso anche da parte della Polizia postale”, segnala il Sole 24 Ore. COLPEVOLI CYBER-CRIMINALI RUSSI? Tornando all’aggressione cibernetica subita da Fs, “la tipologia dell’attacco e il modus operandi con il quale è stato realizzato, sottolineano fonti qualificate della sicurezza italiana, sarebbero infatti riconducibili ad hacker russi” riportava ieri l’Ansa. DIETRO L’ATTACCO HACKER C’È IL GRUPPO HIVE Secondo Open, “dietro l’attacco hacker che ieri ha colpito Trenitalia e Rete Ferroviaria Italiana c’è il gruppo Hive, di lingua russa, con componenti e affiliati sia russi sia bulgari, motivati dal denaro più che dalle ideologie politiche. In risposta all’offensiva informatica di tipo ramsonware, consistente cioè in un malware che limita l’accesso al dispositivo che infetta finché non viene pagato un riscatto, il gruppo ha infatti chiesto 5 milioni di dollari in Bitcoin”. “Quello che sappiamo per certo al momento è che il malware utilizzato è di tipo ransomware e che a scatenare l’attacco è stata la gang HIVE”, ha commentato a Cybersecurity360.it Pierguido Iezzi, ceo di Swascan. “Il ransomware utilizzato dovrebbe essere quello di Hive” segnala più cauta Repubblica. “Tanto che nel pomeriggio il gruppo hacker ha pubblicato alcune chat (probabilmente finte) nelle quali chiedeva a Trenitalia un riscatto di cinque milioni. Un riscatto, dicono da Ferrovie, che però non è mai stato sollecitato, né tantomeno pagato”. LA POSIZIONE DI FS Da parte sua, invece, Ferrovie non conferma di aver ricevuto richieste di denaro, come affermato dal portavoce Mancini ieri al Tg1. Nella nota ufficiale, il gruppo Fs ha fatto sapere che “sta lavorando in stretta collaborazione con l’Agenzia per la Cybersicurezza Nazionale e con la Polizia di Stato. In particolare il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic) della Polizia Postale è impegnato a condurre tutti gli adeguati controlli e verifiche su quanto accaduto oggi”. COSA SOSTIENE IL PROF BALDONI, DIRETTORE DELL’ACN «È un attacco hacker simile ad altri che hanno colpito aziende e infrastrutture anche in Italia negli ultimi tempi», ha commentato Roberto Baldoni, direttore dell’Agenzia nazionale per la cybersicurezza, in una intervista al Corriere della Sera. Secondo Baldoni nel caso di Fs ci troviamo davanti “a un attacco hacker simile ad altri che hanno colpito aziende e infrastrutture anche in Italia negli ultimi tempi”. E alla domanda se il riscatto deve essere pagato, il direttore dell’Acn non ha dubbi: “Dal mio punto di vista non bisogna trattare mai. Bisogna invece aumentare la consapevolezza e le pratiche di prevenzione e mitigazione”. SISTEMI IBM Per i servizi di vendita Ferrovie dello Stato si avvale di Ibm, il colosso tecnologico statunitense. Il sistema di vendita di Trenitalia è infatti PICO, la Piattaforma Integrata Commerciale messa a punto nel 2012 in collaborazione con Ibm Services. “Ibm ha sviluppato Pico per Trenitalia usando software IBM come WebSphere, ILOG, DB2, MQ, ecc.. La soluzione è ospitata nell’IBM Data Center di Pero (Milano)”, si legge in una nota. Inoltre, nel 2019 Ferrovie dello Stato Italiane e Ibm hanno rafforzato “la propria collaborazione con un nuovo progetto che migliora la customer experience dei viaggiatori tramite soluzioni di intelligenza artificiale”. “Grazie alla nuova piattaforma cognitiva basata su cloud, FS Italiane sarà in grado di fornire alle persone servizi di assistenza, ventiquattro ore al giorno, con contenuti e consigli in base alle proprie abitudini e preferenze” spiegavano le società. L’ITALIANA ALMAVIVA Ha scritto Repubblica oggi: “Trenitalia è cliente di una delle principali software house italiane”. Nel settore informatico di Fs, da anni, comanda Almaviva: il gruppo tecnologico presieduto da Alberto Tripi da decenni fa incetta di appalti” ricordava nel 2020 il quotidiano Domani. Come emerge dal sito dell’italiana Almaviva, tra i clienti “di soluzioni e servizi per il trasporto pubblico locale integrato e la logistica intermodale” figura anche il Gruppo Fs, Rfi e Trenitalia.
dettagli
Attacco hacker Ferrovie, tutti i dettagli
Attacco informatico a Ferrovie: cosa è successo e chi sono i responsabili.