La gang dei ransomware colpisce ancora: attacco informatico al Comune di Torino (e non solo). Quali sono le conseguenze, ma soprattutto: com’è possibile?
Il 15 novembre la rete informatica del Comune di Torino ha subito un blocco improvviso a causa di un ransomware, che ha bloccato la maggior parte dei servizi e ha causato non pochi disservizi, in primis all’anagrafe cittadina e al servizio di sportello della polizia municipale.
Il Comune ha affermato che il numero delle postazioni colpite è stato contenuto e che sono subito state poste in essere delle contromisure, tra le quali lo scollegamento dei domain controller (ossia i Server che gestiscono le richieste di autenticazione alla rete), la modifica delle password delle utenze admin e la chiusura della rete comunale. Inoltre, ha affermato che non sono stati compromessi dati personali e che, grazie alla presenza di backup, questi non sono andati persi.
Stando a quanto riportato, il ransomware ha avuto accesso (pare) dal computer dei vigili urbani, quindi un pc che non era gestito direttamente dal Comune ma che in ogni caso aveva accesso alla rete.
Attacco informatico al Comune di Torino: le conseguenze
Come è noto i ransomware, oltre a crittografare tutti i dati presenti, spesso vengono usati con lo scopo di richiedere un riscatto in denaro (bitcoin, in quanto non tracciabili).
Le conseguenze dell’attacco sono state ingenti: oltre al blocco dei servizi (anagrafe e lo sportello dei vigili urbani) vi sono stati anche problemi legati ai cittadini, che ad esempio non potevano avere accesso alle immagini dei semafori T-red o, con riguardo ai verbali, che potranno essere caricati solo in un successivo momento, porteranno ad una mole di lavoro non indifferente per la polizia municipale. Inoltre i pagamenti, non potendo essere fatti online, sono stati eseguiti manualmente a mezzo di bollettini (un gran disagio per i cittadini abituati ai pagamenti online), mentre le mail inviate non possono essere visualizzate né essere prese in carico. Oltre ciò sono stati cancellati decine di appuntamenti e la rete DRS (che serve per lo smart working) deve essere ricostruita da capo.
Queste sono solo alcune delle conseguenze derivate da un attacco ransomware, ma ve ne sono e ve ne possono essere molte altre.
Attacco informatico al Comune di Torino (e non solo): una lezione per tutti
Analizzando quanto detto dal Comune e quanto comunicato dai giornali, si possono trarre numerosi insegnamenti. Anzitutto per quanto un ente, un’azienda o una persona possa essere accorta nel trattamento dei dati e nelle misure di sicurezza, non sempre è possibile riuscire a scovare la falla. In questo caso la porta di ingresso è stata aperta da un PC non controllato dal Comune ma che aveva accesso alla rete e, probabilmente, la persona che utilizzava detto PC, non era stata adeguatamente formata sulle tipologie e sulle tecniche di attacco, infatti è stato ipotizzato che sia stato usato un attacco di spear phishing tramite un’e-mail contenente allegati o collegamenti dannosi o che siano state rubate le credenziali di accesso (troppo semplici? Conservate male? Chi lo sa!)
Altro insegnamento è quello della formazione del personale che resta sempre e comunque l’ultima e più efficace barriera contro gli attacchi informatici.
Attacco informatico al Comune di Torino: una storia che si ripete
Non solo il Comune di Torino ha subito un attacco di tipo ransomware, ma solo negli ultimi mesi ce ne sono stati moltissimi.
Il 30 marzo il comune di Brescia è stato colpito, sono stati criptati anche i backup ed è stato richiesto un riscatto di 26 bitcoin. A seguito del rifiuto del Comune, il riscatto è salito a 55 bitcoin e, inoltre, sono stati pubblicati sul dark web parte dei dati del Comune (personali e non) come dimostrazione di forza e di effettivo possesso dei dati.
L’11 aprile è toccato all’ATC Torino, l’azienda pubblica che gestisce 30 mila appartamenti di edilizia popolare. In questo caso sono stati richiesti 700 mila dollari come riscatto per i dati rubati e criptati (si parla di 43 terabyte di dati!).
Infine ad agosto è stato il turno della Regione Lazio che ad agosto ha subito una sorte simile. Anche in questo caso l’accesso è stato dato dal PC di un dipendente in smart working, ma le conseguenze, come ben si sa, sono state nettamente peggiori
Questi sono solo quattro casi di attacchi da parte di hacker, ma nella realtà di casi come questi ne succedono decine al giorno.
Purtroppo, non è possibile avere un livello di sicurezza assoluto nel mondo informatico, in quanto nel momento in cui viene creato un sistema di sicurezza viene subito cercato e creato un modo per aggirarlo. L’unica strada percorribile, oltre a tenere aggiornati i sistemi e implementate le misure di sicurezza, è quella di formare al meglio l’ultima e più efficace barriera, ossia l’uomo (inteso come personale che accede ai sistemi).
La maggior parte degli attacchi va a buon fine perché l’utente finale non conosce cosa sta facendo (basti pensare che migliaia di persone cadono nel tranello del “Sei l’unico erede del principe cambogiano, la tua eredità è di 10˙000˙000€, per riceverla devi darmi i seguenti dati e pagare le tasse o le commissioni per la banca”), se vi fosse una formazione adatta buona parte di queste situazioni si sarebbe evitata.
Riccardo Ajassa è Dottore in giurisprudenza. Dal 2018 è Consulente della privacy e studia la normativa in materia di protezione dei dati personali. Dopo aver visto moltissime realtà e aumentato la sua esperienza in campo privacy, da alcuni mesi si sta specializzando anche in tema di cyber security.