Un attacco ransomware ha colpito il 23 marzo la rete Trenitalia/Ferrovie bloccando la vendita biglietti in stazioni, nelle biglietterie e self service.
Lo annuncia l’azienda. L’attacco ha costretto Ferrovie a scollegare le biglietterie. Il 24 marzo qualche self service è stato riattivato in sicurezza, dice Trenitalia a Cybersecurity360.
Ransomware Trenitalia, biglietterie fuori uso
«Anche la prenotazione dei servizi delle Sale blu di Rfi potrebbe non avvenire con la consueta regolarità. I passeggeri sono autorizzati a salire a bordo treno e presentarsi al capotreno per acquistare il biglietto senza sovrapprezzo. Le disfunzioni registrate non impattano sulla circolazione ferroviaria che procede con regolarità», si legge in una nota della società.
Un impatto limitato (pare)
Possibile invece comprare online i biglietti. L’impatto sui consumatori è quindi limitato e nullo sull’operatività dei treni.
Come spiegano a Cybersecurity360, “qualche ritardo c’è stato su qualche treno merci per il passaggio a comandi manuali, avendo scollegato i sistemi automatici”.
In mattinata del 23 marzo l’azienda aveva chiesto ai dipendenti di scollegare i computer dalla rete, proprio per contenere l’infezione.
Trenitalia: nessun riscatto
“Non è arrivato nessuna richiesta di riscatto, comunque i danni sono molto limitati”, dice un rappresentante dell’azienda a Cybersecurity360. “Abbiamo disattivato le biglietterie e isolato la rete commerciale per evitare che il ransomware si estendesse. Prima di riattivarle dobbiamo accertarci che non ce ne sia più traccia nei sistemi”, aggiunge.
Un’operazione comune in questi casi.
“Quello che sappiamo per certo al momento è che il malware utilizzato è di tipo ransomware e che a scatenare l’attacco è stata la gang HIVE”, commenta Pierguido Iezzi, CEO di Swascan.
Riscatto di 5-10 milioni di dollari a Trenitalia/Ferrovie
Nella giornata del 23 è emerso tuttavia una richiesta di riscatto di 5 milioni di dollari nelle chat di HIVE, che poi l’hanno aumentata a 10 milioni di dollari, per punizione perché “qualche scriteriato ha reso pubblico il link della chat della trattativa e qui vi si è aggiunto qualcun altro che si è messo a fare battute con i criminali”, ci spiega Riccardo Meggiato. noto esperto del settore e anche curatore della nostra sezione The Outlook.
Hive ha dato 3 giorni di tempo all’azienda per pagare.
Non c’è alcuna ufficialità né garanzia che questo riscatto sia stato in effetti richiesto. Allo stato non c’è una rivendicazione ufficiale di HIVE.
La nota di Trenitalia del 23 marzo
“Da stamani sulla rete informatica aziendale sono stati rilevati elementi che potrebbero ricondurre a fenomeni legati a un’infezione da cryptolocker – recita una nota delle Ferrovie -. Sono in corso le attività di verifica sulla rete. In via precauzionale sono state disattivate alcune utenze dei sistemi di vendita fisici di Trenitalia. Pertanto non è temporaneamente possibile acquistare titoli di viaggio nelle biglietterie e self service nelle stazioni, mentre è funzionante la vendita online. Anche la prenotazione dei servizi delle Sale blu di Rfi potrebbe non avvenire con la consueta regolarità”
Attacco a Ferrovie, c’entra l’Ucraina?
Non ci sono altri dettagli al momento sull’attacco né rivendicazioni. Facile pensare a un collegamento con la guerra in Ucraina e quindi a un tentativo di attacco russo; le autorità in Italia e altrove hanno del resto già avvisato dell’aumentato rischio di attacchi cyber come ritorsione agli aiuti italiani ed europei all’Ucraina.
Tuttavia attacchi di questo tipo, ransomware, avvengono continuamente da anni e non ci sono al momento indizi per sospettare che qui ci sia la mano di Putin. Un cyber attacco mirato state-sponsored storicamente fa inoltre danni più vasti, in particolare se indirizzati a infrastrutture critiche come le ferrovie.
Il 24 marzo è intervenuto con chiarezza il direttore dell’Agenzia Cyber Roberto Baldoni, dicendo che è molto più probabile un intento criminale, “difficile c’entri la guerra”.
Ferrovie dello Stato: “Nessun elemento su origine e nazionalità dell’attacco”
A questo proposito, Ferrovie dello Stato in serata del 23 ha comunicato di essere al lavoro “in stretta collaborazione con l’Agenzia per la Cybersicurezza Nazionale e con la Polizia di Stato”, in particolare il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic) della Polizia Postale “impegnato a condurre tutti gli adeguati controlli e verifiche su quanto accaduto oggi”. L’azienda specifica: “Allo stato attuale non sussistono elementi che consentano di risalire all’origine e alla nazionalità dell’attacco informatico“.
Chi è Hive
Hive è una gang di ransomware che finora ha colpito per denaro grandi aziende come Mediamarkt, Mediaworld e anche un’asl del Veneto.
MediaWorld sotto attacco ransomware: Black Friday avvelenato da richiesta di maxi riscatto
Danni alla biglietterie, possibile furto dati personali dei viaggiatori?
La circolazione ferroviaria “prosegue regolarmente e i sistemi di vendita nelle stazioni (biglietterie e self service) sono stati inibiti soltanto per motivi di sicurezza, mentre gli altri sistemi online sono operativi. I viaggiatori sprovvisti di biglietto saranno regolarizzati a bordo treno senza sovrapprezzo”.
Questa nota insomma sembra escludere un’ipotesi che sta circolando ora, ossia un attacco ai sistemi di biglietteria con possibile data breach, il che metterebbe a rischio i dati personali dei viaggiatori.
L’azienda conferma al nostro giornale che non c’è stato databreach.
Baldoni: “Come stiamo gestendo la crisi Ucraina e i prossimi passi dell’Agenzia cyber”
“La natura della rivendicazione potrebbe avere importanti ripercussioni. Resta massima l’allerta nel caso di data breach e rivendita accessi a terze parti”, afferma Pierluigi Paganini, uno dei massimi esperti di Cyber security italiani.
Potrebbe essere un problema di supply chain?
Ci si trova in una fase di incertezza di informazioni, quello che si può fare è ricostruire gli eventi dell’ultimo periodo. Il 17 marzo, pochi giorni fa, abbiamo assistito a disservizi sulla rete ferroviaria italiana per un problema tecnico di Alstom Bombardier, contractor del gruppo Ferrovie dello Stato, con rapporti decisamente più intimi con l’Italia, dalla fusione di fine gennaio 2021.
Questa la nota del 17 marzo 2022 di Alstom: “Il problema sulla rete ferroviaria italiana generato questa mattina dai sistemi di segnalazione prodotti da Bombardier Transportation è dovuto ad un bug informatico già mitigato nelle prime ore da un intervento tecnico su tutta la rete. Alstom si scusa per l’inconveniente causato ai passeggeri ed è impegnata a fornire tutto il supporto necessario a RFI per tenere monitorato il sistema di comando centralizzato e computerizzato del traffico, a beneficio di tutta la rete”.
Oggi Trenitalia avverte e lancia degli alert al personale e all’utenza, sulla sospensione di alcuni servizi a causa di un attacco informatico. Il collegamento verrebbe del tutto naturale, pensando allo stretto rapporto fornitore/cliente dei due gruppi aziendali.
E’ tuttavia una ipotesi, eventualmente da confermare con sviluppi futuri di questa vicenda. Quello che è certo, è che i sistemi di gestione delle biglietterie sono stati spenti, con ricadute sui capi treno che, in ogni caso, finora hanno fatto proseguire regolare l’andamento dei treni senza ritardi dovuti a questo incidente.
Login di dipendenti trovati online, possibile veicolo dell’intrusione
Intanto Cybersecurity360 ha potuto vedere screenshot di utenze di dipendenti Trenitalia (con credenziali, password, cookie, componenti delle macchine con malware) tratte da botnet note (redline e arkei).
Forse la prova che l’attacco è stato possibile grazie a credenziali rubate a dipendenti (probabilmente in smart working) nelle scorse settimane o mesi.
Aggiorneremo l’articolo non appena se ne saprà di più.
Articolo pubblicato in origine il 23 e aggiornato con gli eventi successivi
