Il 23 marzo scorso una delle notizie che riusciva a farsi strada tra tutte quelle relative al conflitto tra Russia e Ucraina riguardava l’attacco hacker subito dal mondo ferroviario italiano. Trenitalia, RFI (Rete Ferroviaria Italiana) e Trenord sono state colpite da un ransomware, che impedito la vendita dei biglietti nelle stazioni mettendo fuori uso il sistema nelle biglietterie e presso i terminali self service.
L’attacco ha avuto un impatto limitato: la circolazione dei treni non ha subito contraccolpi e ai passeggeri è stato consentito di fare il biglietto sul treno senza sovrapprezzi. Tuttavia, vedere i principali attori del trasporto ferroviario alle prese con un attacco così forte ha destato stupore. Soprattutto quando è emersa la richiesta di riscatto: 5 milioni di euro in bitcoin, poi diventati 10 dopo un piccolo incidente. Qualcuno ha reso pubblico il link della chat della trattativa, cosa che ha spinto qualcuno a far battute con i cybercriminali; il quali, indispettiti, hanno raddoppiato la richiesta.
Proviamo a capire qualcosa di più di questo incidente con Raffaele Fazio, del SOC di HWG.
Quali sono i dettagli del caso?
Il gruppo che ha sferrato l’attacco si chiama HIVE e ha utilizzato un Cryptolocker, un malware che cripta e blocca i file. Lo schema è quello della doppia estorsione: dopo l’azione, chiedo all’azienda di pagare per avere una chiave di decrittazione e di aggiungere altro denaro per evitare che i dati vengano diffusi su internet.
Si parla di un attacco a impatto limitato...
Essendo del settore abbiamo ovviamente raccolto qualche informazione. Sembra che tutto il comparto cloud, legato alla vendita dei biglietti online e sull’app, non si sia mai fermato. Ciò fa quindi dedurre che questi servizi fossero su un’infrastruttura separata rispetto a quella infettata, e fa presumere ragionevolmente che siano salvi. Ma se mai conosceremo queste informazioni, sarà tra qualche tempo.
Di infrastruttura separata abbiamo parlato in questo articolo: quindi le aziende colpite hanno agito nel modo più corretto?
Da quel che sappiamo sembra di sì, con un intervento di contenimento della minaccia effettuato isolando i server per impedire che il malware continuasse a criptare propagandosi nella rete. In altre parole, hanno fatto l’unica cosa che va fatta in questi casi: sganciare dalla rete il server, che sia o non sia stato infettato.
Comunque un danno c’è stato. Che impatto può avere sui dati degli utenti?
Con ogni probabilità il gruppo ha criptato una share di rete nella quale c’erano i documenti che i dipendenti delle società colpite utilizzavano, e quindi una parte del loro lavoro è stata sicuramente coinvolta.
E per gli utenti dei servizi ferroviari?
Come abbiamo visto prima, i servizi on line e sull’app sono proseguiti. L’area quindi non è stata interessata. Ma un consiglio possiamo darlo: cambiate la password. Cosa che, peraltro, va fatta spesso e per tutti i servizi di cui si è fruitori.
Cosa sappiamo invece su HIVE?
Sono sulla scena del cybercrime da un paio d’anni ma le loro azioni non hanno mai avuto una grossa eco, non sono noti per aver causato grandi danni. Peraltro, fino a qualche tempo fa, il loro malware non era nemmeno così evoluto, si decrittava facilmente. Certo, non sappiamo se in questa versione se sia migliorato. Comunque non è uno dei gruppi più attivi. In ogni caso, ciò non ridimensiona il problema e non cambia il punto cruciale della vicenda.
E quale sarebbe?
Si dice da tempo: non è più se, ma quando possiamo essere attaccati. E quindi, visto che ci siamo, prepariamoci. E cioè: pensiamo oggi a quello che dobbiamo fare domani in caso di attacchi come questi. Questo non significa cercare la bacchetta magica che mi consenta di risolvere tutto in 10 minuti. Ma già applicando semplici linee guida - dai backup all’accesso degli utenti alla buona segmentazione di rete - possiamo rendere più difficile la vita dell'attaccante, che quindi ci lascia perdere per dedicarsi a infrastrutture più deboli della nostra. E aggiungo: non parlo solo alle aziende, ma anche agli utenti. Certo, una grande azienda è più strutturata; una piccola lo è meno e l’impatto può essere più devastante. Ma non è detto che ciò non capiti anche a un utente. Insomma, tenete sempre sul tavolo un backup: fa sicuramente bene. Si tratta di un consiglio di sano buon senso; molto spesso, non serve di più.
