lunedì 6 giugno 2022

Comune di Palermo sotto attacco: sistemi offline. Le credenziali di accesso alla rete erano in vendita nel dark web

Il sito del Comune di Palermo è offline dal 2 Giugno: si parla di attacco ransomware, ma non ci sono conferme. E mentre iniziano le preoccupazioni sulle imminenti elezioni comunali, si scopre che le credenziali di accesso alla rete erano in vendita nel dark web.

Il sito web del Comune di Palermo offline da giorni

La notizia si è diffusa nella prima mattinata dal 2 Giugno: il sito web del Comune di Palermo va giù e lo è tutt'ora. 

Data: 06/06/2022 h. 12.00

Data: 06/06/2022 h. 12.00


Sono offline diversi servizi, comprese le telecamere collegate alla Sala Operativa dei Vigili Urbani. Poche ore dopo il Comune di Palermo pubblica una nota dove si parla apertamente di "attacco hacker":

“Nelle prime ore del mattino è stato rilevato un attacco hacker sul nostro sistema informatico. Al momento il sistema è stato cautelativamente spento e isolato dalla rete. Sono in corso attività per valutare natura e conseguenze dell’incidente. I servizi sono attualmente indisponibili e potrebbero verificarsi disagi nei prossimi giorni di cui ci scusiamo anticipatamente. La Sispi ha già costituito un team tecnico per gestire l’evento e sono state messe in campo le misure necessarie a porre rimedio a possibili violazioni dei dati personali e si sta provvedendo alle comunicazioni nei confronti delle Autorità competenti. Con successive comunicazioni verranno resi noti eventuali aggiornamenti”.

I sistemi risultano ancora offline "in via precauzionale" e dovrebbero tornare online nel corso della giornata di oggi, Lunedì 6 Giugno. Il fatto che i sistemi siano stati spenti manualmente in via precauzionale fa pensare  che non si sia trattato di un attacco DDoS e che quindi il collettivo di hacktivisti russi KillNet non dovrebbe essere collegato a questo attacco. Si vocifera, ma non ci sono conferme, che si tratti di un tentativo di attacco ransomware. 

Come nel caso dell'attacco al Fatebenefratelli-Sacco, le credenziali erano in vendita nel dark web

Gli esperti di Cluser 25 hanno confermato quel che si temeva e che, purtroppo si è già verificato. Le credenziali di accesso alla rete erano già state diffuse nel dark web. Anzi, risultano pubblicate fin dal 25 Maggio

Fonte: Cluster25

E' un accesso di tipo SSO (Single Sign On, valide per accedere con una unica autenticazione a più sistemi) all'infrastruttura del comune di Palermo. La fonte dalla quale sarebbero fuoriuscite queste credenziali parrebbe essere una botnet. 

Nel frattempo il sito di cyber security RedHotCyber rileva nel dark web ulteriori informazioni relative ad accessi all'infrastruttura del Comune di Palermo. 



Fonte: RedHotCyber



Un caso quasi fotocopia a quanto già avvenuto nel caso del cyber incidente occorso poco tempo fa all'ospedale Fatebefratelli Sacco.

Per saperne di più > Sacco e Fatebenefratelli colpiti da ransomware: VPN in vendita

Quali servizi sono andati offline?

Premesso che l'infrastruttura risulta in down in via precauzionale, tecnica estrema di difesa che si attua solitamente per evitare ulteriori propagazioni di una infezione su un sistema, risultano un pò più chiari, a 4 giorni di distanza i danni e i disservizi.

Anzitutto c'è il problema delle zone a traffico limitato: le telecamere sono accese, ma il sistema non è più in grado di registrare il pass di pagamento. Sugli schermi che segnalano l'inizio della ZTL campeggia da giorni la scritta "IN TEST". Di contro, spiegano dall'amministrazione comunale, non è possibile emettere un'ordinanza ad hoc perché non è possibile pubblicarla.

L'amministrazione sta inoltre dando indicazione, riguardo ai certificati anagrafici, di accedere con SPID o carta di identità elettronica al portale dell'Anagrafe Nazionale. I sistemi comunali infatti non possono ad ora fornire ai cittadini  i certificati di stato di famiglia, i certificati di nascita, i certificati di matrimonio e i documenti di cambio di domicilio e i certificati di residenza. Non sono invece ancora tornati pienamente operativi i sistemi di rilascio della CIE. Non è possibile neppure prenotare l'utilizzo degli impianti sportivi né accedere ai servizi online per l'acquisto dei biglietti del sistema museale e del Teatro Massimo.  

Sispi, la società che gestisce l'infrastruttura del Comune di Palermo, assicura però che tutto ciò che è necessario e contestuale alle imminenti elezioni è stato ripristinato. Il Comune ha fatto sapere che:

gli adempimenti preliminari alla tornata elettorale sono stati tutti portati a termine (stampa liste elettorali, aggiornamenti tessere elettorali), è attivo il servizio di rilascio della Cie presso tutte le postazioni e il servizio di registrazione del sistema di videosorveglianza non ha subito alcuna interruzione”.

Sicuramente interrotti sono i sistemi di comunicazione telematici: il Comune è tornato ai fax e a sistemi di comunicazione privati. Numerosi i respingimenti agli sportelli di cittadini per i quali l'ente non è in condizione di sbrigare le pratiche richieste. 

Ransomware o non ransomware?

Non è chiaro quale tipo di attacco sia stato portato contro i sistemi del Comune di Palermo. Si vocifera di attacco ransomware, ma non ci sono conferme ufficiali. Anzi, fino a 2 giorni fa il Comune di Palermo ribadiva che :

“Fino ad ora non abbiamo ricevuto rivendicazioni e dai controlli fino ad ora effettuati non ci sarebbero dati criptati o rubati per chiedere un riscatto”.

Nessuna informazione è stata resa pubblica relativamente al destino della mole di dati personali ospitata nell'infrastruttura del Comune. 

Nessun commento:

Posta un commento