Attacco hacker alle Ferrovie dello Stato, tutti i dettagli

L’attacco informatico avvenuto qualche giorno fa verso i sistemi delle Ferrovie dello Stato ha messo ko le biglietterie interrompendo la vendita dei biglietti nelle stazioni. Le attività sospette sulla rete dell’azienda delle Ferrovie dello Stato indicano un “attacco informatico simile a quelli che utilizza il ransomware CryptoLocker”, questo quanto affermato dalle Ferrovie in una nota.

In questo articolo di Giorgio Perego vediamo cos’è successo, il perché dell’attacco e cosa fare in caso di attacco informatico.

Attacco hacker ferrovie: cosa è successo

Il 23 marzo il Gruppo delle Ferrovie dello Stato annuncia che sulla rete informatica aziendale sono stati rilevati, durante i monitoraggi di sicurezza giornalieri, elementi che riconducono ad un attacco di cryptolocker.

Con cryptolocker si intende un tipo di ransomware che cifra i dati del computer bloccandolo e chiedendo il pagamento dietro ad un riscatto.

Sembrerebbe che il cyber attacco sia stato introdotto attraverso uno degli account degli amministratori di sistema del gruppo delle Ferrovie dello Stato.

Ferrovie dello Stato si protegge

FS ha deciso in via precauzionale di disattivare alcune utenze dei sistemi di vendita fisici, tutti i sistemi di self service utilizzati nelle varie stazioni, mentre è rimasta attiva la vendita online.

La decisione di disattivare alcuni servizi, come ad esempio le biglietterie, è legato al fatto che non è ancora chiaro da dove sia entrato il virus. Se fossero rimasti attivi questi servizi il virus avrebbe potuto sfruttarli per propagarsi su tutta la rete bloccando altri servizi e mettendo a rischio l’intera rete aziendale.

Attacco hacker: cosa fare

Quando si viene colpiti da un attacco del genere la prima cosa da fare è quella di isolare il prima possibile il virus spegnendo tutte le macchine colpite. Successivamente si passa al piano di disaster recovery che come potete immaginare è fondamentale.

In caso di un incidente come questo, si deve passare ad una modalità manuale per garantire il continuo servizio. Il disaster recovery è, in parole povere, una copia dell’infrastruttura utilizzata posizionata però a molti km di distanza o addirittura dall’altra parte del mondo.

Come in tutti gli attacchi, i cyber criminali effettuano uno studio dettagliato della vittima prima di agire. Nella maggior parte dei casi, inoltre, il malware viene introdotto e parcheggiato in attesa che venga eseguito dopo qualche giorno.

Attacco hacker, il risvolto tragicomico

L’attacco avvenuto alle FS ha una parte comica. Si dice infatti che, pochi minuti dopo l’attacco, sono comparse per errore (prima su un canale del social network Twitch e poi sul canale Telegram) le credenziali di accesso ad una chat utilizzata per discutere dei termini del riscatto per riavere i dati bloccati.

Queste credenziali sono apparse per poco tempo ma hanno permesso a molti di chattare con il gruppo cyber.

Cyberwar nello scenario geopolitico attuale

Oggi giorno in uno scenario geopolitico sempre più complesso anche la cyberwar è diventata più complessa. Il compito principale, fino a qualche giorno fa, era comprendere chi fossero gli autori dell’attacco e la tecnica utilizzata. Adesso sembra molto più urgente comprendere il perché dell’attacco.

Con ogni probabilità questo attacco non aveva motivi politici, ma fatto a scopo di lucro. Tuttavia, per essere sempre in anticipo su futuri potenziali attacchi, è necessario durante l’analisi tecnica inglobare la parte tattica e procedurale utilizzata dagli cyber criminali. Tutto ciò per scoprire i mezzi utilizzati ed i moventi in modo da distinguere un attacco a scopo di lucro rispetto a un attacco politico.

Per poter alzare l’asticella sulla sicurezza digitale del nostro paese i legami tra pubblico e privato devono essere rafforzati.

Consulta anche i seguenti canali

Il canale youtube Byte Yok

Il Cam TV Giorgio Perego

Aggiornati con i corsi di formazione INFORMA