Attacco hacker russo in Italia, chiesto riscatto: tra gli enti colpiti il Parco dell'Aspromonte, l'Ersu Messina e il Cas
Il gruppo hacker russo Lockbit ha rivendicato l’attacco ransomware che negli ultimi dieci giorni ha investito pubbliche amministrazioni in Italia che si avvalgono dei servizi di Westpole. Lo si apprende da fonti informate. A fronte di database criptati e inaccessibili, dai cyber pirati sarebbero giunte richieste di riscatto in criptovalute al provider che ospita diversi servizi di Pa Digitale, società privata del gruppo Buffetti che eroga prestazioni a 1.300 realtà della pubblica amministrazione italiana. Tra i prodotti forniti e ancora bloccati ci sono i sistemi di rendicontazione di buste paga e di fatturazione elettronica. Stipendi e tredicesime a rischio per dipendenti e fornitori di alcuni dei 1.300 enti della pubblica amministrazione italiana colpiti dal massiccio attacco di Lockbit. A dieci giorni dall’offensiva, che aveva criptato e reso inaccessibili diversi database, il totale ripristino della normalità sembra ancora lontano e nel frattempo è giunta la rivendicazione con la richiesta di riscatto in criptovaluta da parte dei criminali informatici. Ma il ministro della Pa, Paolo Zangrillo, assicura: "Stiamo verificando, al momento non mi risultano problemi. Finora non ho ricevuto feedback di emergenza su questo fronte ma adesso approfondirò la questione». Indaga la Polizia postale, mentre anche il Garante della privacy è stato avvisato. Il cyber attacco è giunto alla serie di server (in gergo server farm - ndr) a Milano e Roma di Westpole, la casa di sviluppo la cui infrastruttura cloud è utilizzata dalla società Pa Digitale. L’offensiva informatica alla supply chain di Westpole era stata resa nota lo scorso 8 dicembre e si è quindi riverberata su Pa Digitale, che fornisce servizi di gestione digitali (demografici, anagrafici, pagamento di stipendi ai dipendenti comunali) a circa 1.300 realtà della Pubblica amministrazione italiana, tra cui circa 500 Comuni, alcune Province, diverse Unione di Comuni e Comunità montane ed enti tra cui l’Agenzia per l’Italia digitale (Agid) e l’Autorità anticorruzione (Anac). L’infrastruttura della società è stata pesantemente compromessa dal ransomware di Lockbit che è il gruppo più attivo in questo tipo di attacchi che hanno colpito obiettivi italiani. Gli hacker potrebbero aver sfruttato vulnerabilità già note dei sistemi. Per una buona metà dei servizi è stata avviata la procedura di ripristino attraverso backup; l’altra metà potrebbe essere difficilmente recuperabile. Potrebbe così essere necessario, ad esempio, rifare i conti per quanto riguarda gli stipendi, cosa che potrebbe far slittare il pagamento da dicembre a gennaio in alcuni casi. L’attacco era stato confermato nei giorni scorsi dal direttore dell’Agenzia per la cybersicurezza italiana, Bruno Frattasi. Acn, aveva spiegato, «è intervenuta per analizzare la vastità dell’impatto e indicare le modalità di recupero dei dati e per aiutare Westpole a ripristinare i suoi servizi come pratica di resilienza. L’Agenzia ha infatti due funzioni: una è proteggere la superficie, la seconda è appunto far ripartire i servizi». Sia Westpole che Pa Digitale hanno sporto denuncia alla Polizia postale ed hanno avvertito il Garante della privacy. L’Agenzia per la cybersicurezza nazionale fa sapere di essere «da diversi giorni in contatto con la Westpole S.p.A. e con PA Digitale S.p.A. per dare loro il massimo supporto al contenimento dei disservizi dovuti all’attacco informatico di tipo ransomware portato a segno dal gruppo di hacker russofono Lockbit 3.0. L’attività svolta ha consentito il ripristino di tutti i servizi impattati, nonché il recupero dei dati oggetto dell’attacco per più di 700 dei soggetti pubblici nazionali e locali, legati alla catena di approvvigionamento di PA Digitale S.p.A». Per le restanti Amministrazioni - sono circa 1.000 i soggetti pubblici legati contrattualmente a PA Digitale S.p.A. per l’erogazione di servizi gestionali di varia natura - «resta l’esigenza di recuperare i dati risalenti ai 3 giorni precedenti l’attacco, avvenuto l’8 dicembre», aggiunge l’Agenzia.. L’attività svolta in seguito all’attacco hacker del gruppo russofono Lockbit consente di "scongiurare la paventata, mancata erogazione degli stipendi di dicembre e delle tredicesime a favore dei dipendenti di alcune Amministrazioni locali indirettamente impattate». Lo fa sapere l'Agenzia per la cybersicurezza nazionale. I rallentamenti dei servizi digitali che si sono registrati nella mattinata odierna, aggiunge, «sono dovuti alla congestione degli accessi simultanei e non rappresentano una conseguenza diretta dell’attacco».
Gli enti attaccati:
AGCOM (Autorità per le Garanzie nelle Comunicazioni) ANAC (Autorità Nazionale Anticorruzione) Consiglio Superiore della Magistratura Autorità di regolazione per Energia, Reti e Ambiente Ministero dell’Ambiente e della Tutela del Territorio e del Mare Fondo di Previdenza per il personale del Ministero dell’Economia e delle Finanze Amministrazioni Comunali Lecco Imperia Cernusco Sul Naviglio Samarate Castelleone Arese La Spezia Orbetello Isola Del Giglio Fiumicino Falconara Marittima Foligno Cagliari Carbonia Villaricca Ischia Ascoli Piceno Unioni di comuni Comunità Montana Valtellina di Tirano Unione dei Comuni Collinari del Vergant Amministrazioni Provinciali Brescia Lecco Massa Carrara Macerata Lodi Altri Enti Ente Parco Nazionale Dolomiti Bellunesi EDiSU Pavia ERSAF Lombardia (Ente Regionale per i Servizi all’Agricoltura e alle Foreste) ARPA (Agenzia Regionale per la Protezione dell’Ambiente della Lombardia) Accademia della Crusca Soprintendenza Speciale per il Colosseo il Museo Nazionale Romano e l’Area Archeologica di Roma Ente Parco Nazionale dell’Aspromonte Consorzio Autostrade Siciliane Parco Nazionale dell’Arcipelago di La Maddalena ERSU Messina