Attacco ransomwar da parte del gruppo Hacker russo Lockbit. Lo apprende l’Agenzia di stampa AGI da fonti informali, l’attacco è stato quindi rivendicato.
Negli ultimi giorni sono state prese di mira amministrazioni che si avvalgono del servizio di Westpole. Sarebbero giunte richieste di riscatto in criptovalute al provider che ospita servizi di Pa Digitale, società privata del gruppo Buffetti e che serve 1300 fruitori della pubblica amministrazione italiana.
Attacco Hacker alla PA
(Da ANSA)
Stipendi e tredicesime a rischio per dipendenti e fornitori di alcuni dei 1.300 enti della pubblica amministrazione italiana colpiti da un massiccio attacco di Lockbit, il gruppo di Hacker considerato di origine russe tornato in azione contro il nostro Paese.
A dieci giorni dall’offensiva, che aveva criptato e reso inaccessibili diversi database, il totale ripristino della normalità sembra ancora lontano e nel frattempo è giunta la rivendicazione con la richiesta di riscatto in criptovaluta da parte dei criminali informatici. Ma il ministro della Pa, Paolo Zangrillo, assicura: “Stiamo verificando, al momento non mi risultano problemi. Finora non ho ricevuto feedback di emergenza su questo fronte ma adesso approfondirò la questione”.
Indaga la Polizia postale, mentre anche il Garante della privancy è stato avvisato. Il ransomware – un virus che prende in ostaggio i dispositivi – era stato lanciato lo scorso 8 dicembre contro una serie di server a Milano e Roma di Westpole, l’azienda di sviluppo la cui infrastruttura cloud è utilizzata da Pa Digitale: si tratta della società privata del gruppo Buffetti, che eroga prestazioni a centinaia realtà della pubblica amministrazione, tra cui rendicontazione di buste paga e fatturazione elettronica.
Uno dei sistemi colpiti è Urbi, il software cloud di servizi di gestione digitali (demografici, anagrafici, pagamento di stipendi ai dipendenti comunali) di cui si avvalgono circa cinquecento Comuni, alcune Province, diverse Unioni di Comuni e Comunità montane ed enti tra cui l’Agenzia per l’Italia digitale, il Consiglio superiore della magistratura e l’Autorità nazionale anticorruzione.
Per una buona metà dei servizi è stata avviata la procedura di ripristino attraverso backup, ma l’altra metà potrebbe essere difficilmente recuperabile. Potrebbe quindi essere necessario, ad esempio, rifare i conti per quanto riguarda gli stipendi, cosa che potrebbe far slittare il pagamento da dicembre a gennaio in alcuni casi.
Disagi e rallentamenti a cui per fortuna non sarebbero seguiti furti digitali, almeno per il momento. “Riteniamo poco probabile l’esfiltrazione dei dati da parte dell’attaccante, evidentemente interessato al blocco dell’infrastruttura, non al contenuto dei dati, di tipo indifferenziato, presenti sui nostri repository e all’interno delle circa 1.500 macchine virtuali”, aveva specificato qualche giorno fa Westpole Spa in una mail a Pa digitale.
Lockbit è uno dei gruppi cybercriminali più attivi che già in passato ha attaccato vari enti in Italia, come l’Agenzia delle Entrate. “La loro finalità tipica è l’estorsione, l’elemento che fa un po’ specie è – a quanto risulta finora – l’assenza di esfiltrazione, che in genere precede la minaccia della loro pubblicazione: è possibile che l’infrastruttura attaccata non lo abbia permesso anche grazie alle contromisure di sicurezza in essere – ha commentato Matteo Macina della Cyber Security Italy Foundation – .
Dall’esterno non è possibile conoscere i tempi di risoluzione del problema con certezza , che potrebbe essere risolto a breve oppure in tanti giorni, soprattutto nel caso in cui i dati non siano disponibili nel backup, ad esempio nel caso di registrazioni elettroniche non salvate che potrebbe essere necessario riprocessare manualmente “
La rassicurazione dell’ANC
L’attività svolta in seguito all’attacco hacker del gruppo russofono Lockbit consente di
“scongiurare la paventata, mancata erogazione degli stipendi di dicembre e delle tredicesime a favore dei dipendenti di alcune Amministrazioni locali indirettamente impattate”. Lo fa sapere l’Agenzia per la cybersicurezza nazionale. I rallentamenti dei servizi digitali che si sono registrati nella mattinata odierna, aggiunge, “sono dovuti alla congestione degli accessi simultanei e non rappresentano una conseguenza diretta dell’attacco”.