Trenitalia colpita da Hive Group, biglietterie ko per un ransomware
L'attacco sarebbe opera del gruppo di cyber criminali dell'est, russi ma non solo, che hanno chiesto un riscatto di 5 mln. Nessun disservizio alla circolazione dei treni
Un attacco informatico ha colpito Trenitalia e Rfi, mettendo fuori gioco le biglietterie fisiche e automatiche. Queste ultime sono state chiuse in via precauzionale, con i titoli di viaggio che si possono acquistare solo sul sito e sull'applicazione mobile della compagnia. A rivelare l'offensiva è stata Ferrovie dello Stato, la società che controlla Trenitalia, parlando di "elementi che potrebbero ricondurre a fenomeni legati a un'infezione da cryptolocker". Si tratterebbe in sostanza di un attacco ransomware, con un virus che sfrutta una vulnerabilità dei sistemi di sicurezza per prenderne il controllo, criptare i dati e richiedere un riscatto (molto spesso in criptovaluta) per il rilascio e il ritorno al normale funzionamento. Merito del noto gruppo Hive Group, che come da abitudine ha chiesto un riscatto per far tornare tutto alla normalità.
Al di là dei disservizi legati agli acquisti dei biglietti e alle prenotazioni della Sale Blu dedicate ai disabili e persone con ridotta mobilità, l'attacco non ha avuto impatti sulla circolazione ferroviaria, che procedere regolarmente. Trenitalia ha comunicato in una nota che "i passeggeri sono autorizzati a salire a bordo treno e presentarsi al capotreno per acquistare il biglietto senza sovrapprezzo".
Il reparto tecnico di Trenitalia, invece, sta effettuando verifiche insieme all'Agenzia per la Cybersicurezza Nazionale e il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic) della Polizia Postale per capire cosa sia successo e quali siano state le cause che hanno permesso l'offensiva dei pirati informatici. Tra le varie ipotesi c'è l'opzione di hacker legati a gruppi russi, particolarmente attivi in questa fase dopo l'invasione dell'Ucraina. A rafforzare l'opzione è, secondo quanto riportato da Ansa, la modalità dell'attacco e il modus operandi con cui è stato finalizzato, riconducibili a cyber criminali attivi in Russia.
Premesso che non si è ancora riusciti a chiarire chi sia stato l'autore dell'attacco, tenendo a mente anche che in questa fase di contrapposizione tra Russia e mondo occidentale molti gruppi di criminali informatici tentano di colpire ovunque, sfruttando il rimando pressoché automatico verso colpevoli collegati a Mosca, qualche esperto punta il dito verso Hive Group. Si tratta di un gruppo attivo tra Russia e Bulgaria salito alla ribalta lo scorso anno grazie all'omonimo ransomware e che, diversamente da altri hacker, non si fa scrupoli ad attaccare strutture mediche, istituzioni governative e aziende strategiche. Tra le vittime di Hive Group degli ultimi mesi figurano l'organizzazione sanitaria no-profit statunitense Memorial Health System, la società di software Altus Group e le filiali tedesche e olandesi di Media Markt, la catena di distribuzione specializzata nell'elettronica e negli elettrodomestici di consumo che in Italia è denominata MediaWorld.