Prima il virus cryptolocker per bloccare i dati sensibili, poi la richiesta di riscatto di alcuni milioni di dollari per decrittarli: un attacco informatico ha colpito alcuni sistemi di Ferrovie dello Stato, obbligando l’azienda a sospendere in tutta Italia la vendita dei biglietti nelle stazioni per evitare ulteriori rischi di compromissione che avrebbero potuto mandare in crisi altri sistemi informatici, compresi quelli che gestiscono l’infrastruttura. E ora il sospetto è che dietro all’attacco ci siano hacker russi, non entità statuali ma più probabilmente soggetti legati alla criminalità.
Si tratta di un virus ransomware, un tipo di malware che blocca l’accesso al dispositivo infettato e rimuove le limitazioni solo dopo il pagamento di un riscatto: chi ha lanciato l’attacco è riuscito ad introdurlo nei sistemi compromettendo uno o più account degli amministratori di sistema o di chi, per conto di Ferrovie, gestisce alcuni servizi di Trenitalia.
Appena si sono accorti di essere sotto attacco, i tecnici e gli esperti della sicurezza informatica dell’azienda hanno disattivato a scopo precauzionale una serie di utenze dei sistemi di vendita fisici di Trenitalia. E questo perché al momento non è ancora stata individuata la porta attraverso la quale il virus è stato introdotto nei sistemi. La misura ha avuto come primo effetto quello di impedire al virus di diffondersi. Ma ha anche bloccato la vendita dei titoli di viaggio sia alle biglietterie sia alle macchinette self service nelle stazioni italiane. “I sistemi sono stati inibiti per motivi di sicurezza – ribadisce l’azienda – mentre è funzionante la vendita online e sono operativi gli altri sistemi online”.
Ma da dove arriva l’attacco? “Allo stato attuale non sussistono elementi che consentano di risalire all’origine e alla nazionalità dell’attacco”, sostiene Ferrovie sottolineando che i tecnici stanno lavorando in stretta collaborazione con l’Agenzia per la cybersicurezza e con il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale.
L’obiettivo primario è risalire agli indirizzi Ip e ai server utilizzati per l’attacco e individuare la porta di accesso utilizzata dagli hacker. Fonti qualificate della sicurezza italiana, dopo le prime verifiche effettuate da tecnici e investigatori, ipotizzano però che dietro possano esserci degli hacker russi, criminali comuni e non entità statuali.
