La mattina del 23 marzo 2022, Ferrovie dello Stato – Trenitalia ha spento improvvisamente una parte delle macchine per il self service e alcune biglietterie nelle stazioni, a causa di un attacco ransomware a Rete Ferroviaria Italiana (RFI). Dalle prime indagini effettuate, è emerso che la manovra offensiva è stata messa in atto da un cryptolocker, un tipo di malware che codifica i dati della vittima e, in cambio della chiave di decodifica, chiede un riscatto. Inizialmente, l’attacco era stato attribuito ad una fonte di origine russa.
Ma, in un secondo momento, Ivano Gabrielli, direttore della Polizia postale, la cui sezione del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) è impegnata in partnership con l’Agenzia per la cybersicurezza nazionale (Acn) nelle attività di remedation e analisi della violazione, ha semplicemente parlato di un’aggressione che richiama il comparto della criminalità informatica.
Più precisamente, dopo le ricognizioni effettuate sulle chat di negoziazione apparse sul sito italiano Redhotcyber e le conferme date dalla piattaforma “Wired“, l’attacco sembra essere stato perpetrato da alcuni cyber criminali afferenti al gruppo Hive. Che, effettivamente, conta associati anche in Russia e Bulgaria. Tuttavia, le autorità sembrano escludere vendette legate alle sanzioni comminate al Cremlino per l’invasione della Russia in terra ucraina, affermando come la manovra sia stata messa in atto per fini di profitto. Invece, le password sono trapelate su un gruppo Telegram, seppur ci sia ancora mistero sull’identità di chi abbia potuto diffonderle.
Il giorno dopo l’attacco informatico i servizi sono andati avanti a singhiozzo, ma perché Trenitalia avrebbe operato una sorta dei blindatura dei sistemi in via cautelativa. Sistemi che saranno ripristinati gradualmente.
Ivana Notarangelo
Leave a Reply