Abbiamo raggiunto al telefono Federico Fuga, ingegnere elettronico e sviluppatore
Da diverse ore Trenitalia sta subendo un attacco informatico, quello che in gergo viene definito un ransomware. I criminali bloccano il sistema tramite crittografia e chiedono un riscatto, spesso in criptovalute, per restituire le chiavi al legittimo proprietario. In un periodo storico come quello che stiamo vivendo, notizie simili si collegano inevitabilmente alla guerra in Ucraina, ma non è facile stabilire la natura e l’origine degli aggressori che, il più delle volte, agiscono per estorcere denaro. Al momento sappiamo poco sugli attaccanti – è il gruppo Hive – mentre sul sito di Trenitalia non esiste alcuna traccia di comunicazione ai clienti sui possibili disagi in corso. Sappiamo, come si legge su Cybersecurity 360, che l’azienda ha intanto bloccato le biglietterie fisiche e quelle self service nelle stazioni per cercare di tamponare la situazione. Quanto però è successo dopo l’attacco ha del clamoroso ed è stato raccontato da diversi esperti. Qualcuno, al momento impossibile dire chi, ha condiviso su un canale Telegram lo screenshot con le credenziali di accesso date dai criminali alla società per avviare i negoziati su un particolare indirizzo. Da lì il caos, che andremo ora a spiegarvi. Sappiate intanto che, a causa di questo errore, i criminali hanno deciso di raddoppiare la richiesta di riscatto: non più 5, ma 10 milioni di dollari.
Trenitalia: cosa è successo dopo l’attacco
Per fare luce sulla questione abbiamo intervistato Federico Fuga, ingegnere elettronico e sviluppatore di software, che sta seguendo la vicenda con aggiornamenti anche sul proprio profilo Twitter. Ecco la ricostruzione che ha fatto rispetto non tanto al ransomware, ma alla gestione successiva. «Da quanto abbiamo ipotizzato, sembra che sia stato un dipendente di Trenitalia a pubblicare la fotografia di uno schermo sul quale compare il file di testo spedito dai criminali informatici. Qui si leggono le credenziali. Ha pubblicato l’immagine su un canale Telegram che si occupa di notizie sulle guerra in Ucraina, forse soltanto per testimoniare l’attacco in corso. L’impressione è che sia stata una leggerezza». Che sta però costando cara.
Nel momento in cui le credenziali sono diventate a disposizione di chiunque è successo qualcosa di clamoroso. Persone esterne alle negoziazioni hanno cominciato a chattare sulla pagina, al momento, più delicata per Trenitalia. Se non fosse che di mezzo ci potrebbero essere dati sensibili, senz’altro danni reputazionali enormi e un mucchio di soldi, a leggere la chat – che potete vedere anche in questo video pubblicato da Matteo Flora – non c’è alcun filo logico: un utente offre 1 euro, un altro dice che stanno attaccando l’azienda sbagliata e via di seguito. Un altro ancora commenta con uno spiazzante “lol”.
Come ci ha spiegato Fuga sembra che fino al caos delle credenziali nessuno della squadra al momento al lavoro di Trenitalia avesse attivato la comunicazione con i criminali di Hive sull’indirizzo e con le credenziali cedute. «Sono anni che ci siamo scoperti tremendamente vulnerabili come infrastruttura e PA – ha spiegato l’esperto -. Ci sono stati attacchi a ospedali, ASL, aziende private. E, nonostante questo, siamo arrivati impreparati anche a questo incidente. Il problema grosso è stato che qualcuno, per una leggerezza, ha provocato un danno potenzialmente enorme. Le negoziazioni con queste persone sono delicate, sono professionisti delle estorsioni».
Hive: chi sono
Federico Fuga ci ha descritto anche cosa si sa al momento di questo gruppo di cyber criminali. «Negli ultimi sei mesi Hive si è configurata come una delle minacce cibernetiche più attive. Il loro primo attacco risale al giugno 2021. Parliamo di un gruppo ben organizzato e ben strutturato». Il caos nella chat non deve di certo avergli dato un’immagine autorevole della società che hanno attaccato. E, infatti, hanno deciso di rilanciare, raddoppiando la cifra del riscatto. «Difficile fare ipotesi su chi siano i criminali di Hive: in passato si è letto di elementi russofoni».
Sicurezza informatica: non è solo per tecnici
I disagi sono ancora in corso nelle varie stazioni. Non è dato sapere che tipo di dati abbiano crittografato i criminali e neppure se questi riguardino nomi e cognomi dei clienti, oppure numeri di carte di credito. D’altra parte è evidente che non è stata fatta una sufficiente formazione in merito alla sicurezza informatica. Chiunque, interno alla società, avrebbe potuto vedere quel file di testo con le credenziali. Motivo per cui tutti sono coinvolti quando si è in una situazione simile. «Quando si è sotto attacco – ha concluso Fuga – non far trapelare informazioni all’esterno è un aspetto critico fondamentale. La sicurezza informatica è ancora percepita come una cosa da tecnici. Invece riguarda tutta l’azienda».