martedì 6 aprile 2021

Italia sotto assedio: ransomware colpiscono il Comune di Brescia e Axios, che offre il Registro elettronico alle scuole Italiane

Due episodi nel giro di pochissimi giorni, preceduti dall'attacco a Boggi Milano del quale abbiamo già parlato qui: sono stati giorni di grande attività per il mondo dei ransomware in Italia. Se, da una parte continuiamo a ricevere richiesta di assistenza per QNAPCrypt, che evidentemente sta colpendo ad ondate i NAS Qnap di moltissimi utenti italiani, dall'altra due eventi conquistano perfino i media nazionali: gli attacchi ransomware che hanno colpito il Comune di Brescia e Axios Italia. 

DopplePaymer affonda il Comune di Brescia
In un primo momento, il Comune di Brescia aveva negato di essere vittima di estorsione poi, nel pomeriggio di ieri, incalzato da una fuga di notizie registrata dalla testata Il Giornale di Brescia, ha dovuto confermare  l'attacco ransomware. I sistemi del Comune sono stati colpiti e messi offline dal famigerato ransomware DoppplePaymer: sono offline il sito web, il sistema che gestisce gare ed appalti, la piattaforma per le pratiche edilizie, le piattaforme di gestione del sistema scolastico e di quello cimiteriale, l'Anagrafe (il Comune nega accessi illegittimi ai dati dei cittadini perchè "su server protetti" che eseguono Linux), la Polizia Locale e tutte le reti informatiche di Palazzo Loggia. Il riscatto richiesto è di 26 Bitcoin, pari a 1,3 milioni di Euro. 

Se, come sembra, ci vorranno mesi per ripristinare la rete e tutti i servizi comunali (a meno di pagare il riscatto e ottenere la chiave di decriptazione dagli attaccanti) è divampata la polemica riguardo alla sicurezza delle infrastrutture comunali: dalle prime ricostruzioni è emerso come l'intero sistema informatico dipenda da server che sono ancora fisicamente posizionati nella sala macchine di via Lamarmora, una soluzione anacronistica e pericolosa anche se, a onor del vero, il Comune già da un anno stava lavorando per dotarsi del cloud ma l'operazione non è ancora giunta al termine. 

Fonte: l'Home Page attuale del sito del Comune di Brescia

Registro Elettronico fermo: ransomware ancora non identificato colpisce Axos Italia
Axos Italia è una delle aziende che offre il servizio di Registro Elettronico alle scuole italiane: ieri l'azienda ha fatto sapere tramite i propri canali social di aver subito un cyber attacco, in dettaglio un attacco ransomware. Che c'era qualcosa che non andava era chiaro a molti già da qualche giorno, perché i primi problemi al servizio si sono manifestati Sabato 3 Aprile, finché il servizio è divenuto irraggiungibile. Sempre del 3 Aprile è la prima comunicazione di Axos, che comunque non menzionava alcun cyber attacco, limitandosi a parlare genericamente di "disservizio". 

Da ieri però l'azienda parla apertamente di attacco ransomware, rassicurando comunque i suoi utenti rispetto al fatto che non risultano perdite o esfiltrazione di dati: una dichiarazione frettolosa e che forse dovrebbe arrivare solo a indagini concluse, visto che ormai è parte integrante di un attacco ransomware il momento del furto dati, minacciando la pubblicazione o l'uso dei quali gli attaccanti stringono la morsa ricattatoria sulle vittime.  La notizia dell'attacco non ha avuto grande risalto essenzialmente fino ad oggi, Lunedì 6, semplicemente perché è avvenuto a scuole chiuse, in pieno ponte Pasquale: inoltre sono ancora moltissime le scuole che non solo sono chiuse, ma non fanno neppure didattica a distanza. 

Il 3 Aprile, alle 11.00, l'Axios dirama un primo comunicato: 
Gentili clienti, a seguito di un improvviso malfunzionamento tecnico occorso durante la notte si è reso necessario un intervento di manutenzione straordinaria“. 

Cala poi il silenzio fino al 5 Aprile, quando l'azienda pubblica una nuova comunicazione:
 “teniamo a informarVi che stiamo lavorando alacremente con l’obiettivo di rendere disponibili tutti i servizi Web entro pochi giorni“.

Soltanto a fine giornata, verso le 18.20 di ieri, Axos parla apertamente di "attacco hacker di tipo ransomware": “A seguito di approfondite verifiche tecniche messe in atto da sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura“.

Ci sono già stati, ha ammesso, contatti con gli attaccanti ma la decisione è stata quella di non cedere al ricatto e procedere in autonomia al ripristino dell'infrastruttura. Non è chiaro quale ransomware abbia colpito i sistemi di Axios: l'azienda ha parlato solo di una minaccia recentissima in circolazione solo da Marzo. Proprio l'estrema novità di questa minaccia ransomware, definita dall' Amministratore Unico di Axios come di "ultimissima generazione", sarebbe stata la causa del successo dell'attacco: i sistemi, ha dichiarato Rocchi, sarebbero sicuri ma avrebbero dovuto essere aggiornati contro questo "ransomware di ultima generazione" proprio sabato mattina. L'attacco però, non c'è limite alla sfortuna, è avvenuto il Venerdì notte. 


Nessun commento:

Posta un commento