Attacco hacker, colpiti anche enti e amministrazioni lombarde: quali sono e cosa rischiano

Accanto alle grosse Autorità nazionali ci sono la Comunità montana Valtellina di Tirano, ma anche diverse amministrazioni comunali e provinciali lombarde ed enti come EDiSU Pavia, ERSAF Lombardia e Arpa. Per i più piccoli rischi maggiori derivanti da una minore protezione

hacker
hacker

Ci sono anche amministrazioni comunali e provinciali della Lombardia tra gli enti pubblici colpiti dallattacco degli hacker russi di Lockbit all'azienda Walpole, la cui infrastruttura cloud è utilizzata da Pa Digitale, società che fornisce servizi a circa 1.300 enti della pubblica amministrazione.

Amministrazioni pubbliche colpiti da hacker russi in Lombardia: 

Accanto alle grosse Autorità nazionali (Agcom, Anac, CSM, Autorità di regolazione per l’energia, Ministero dell’Ambiente, Fondo di previdenza del personale del Ministero dell’Economia) spuntano realtà più piccole, ecco quelle lombarde hackerate:

  • la Comunità montana Valtellina di Tirano,
  • le amministrazioni comunali di Lecco, Cernusco Sul Naviglio (Milano), Samarate (Varese), Castelleone (Cremona), Arese (Milano)
  • le amministrazioni provinciali di Brescia, Lecco e Lodi
  • l’EDiSU (Ente per il diritto allo studio uriversitario) di Pavia
  • l’ERSAF Lombardia (Ente Regionale per i Servizi all’Agricoltura e alle Foreste)
  • l’ARPA (Agenzia Regionale per la Protezione dell’Ambiente della Lombardia)

Piccoli enti più a rischio

Ma l’elenco è in continuo aggiornamento. Paradossalmente a correre più rischi sono le piccole realtà che non hanno sistemi adeguatamente protetti e spesso si appoggiano totalmente al software compromesso. Inoltre, a causa di un minore afflusso di utenti, possono anche rendersi conto del problema  più tardi. Il ransomware - un virus che prende in ostaggio i dispositivi - era stato lanciato lo scorso 8 dicembre contro una serie di server a Milano e Roma di Westpole, l'azienda di sviluppo la cui infrastruttura cloud è utilizzata da Pa Digitale: si tratta della società privata del gruppo Buffetti, che eroga prestazioni a centinaia realtà della pubblica amministrazione, tra cui rendicontazione di buste paga e fatturazione elettronica. Uno dei sistemi colpiti è Urbi, il software cloud di servizi di gestione digitali (demografici, anagrafici, pagamento di stipendi ai dipendenti comunali) di cui si avvalgono circa cinquecento Comuni, alcune Province, diverse Unioni di Comuni e Comunità montane ed enti tra cui l'Agenzia per l'Italia digitale, il Consiglio superiore della magistratura e l'Autorità nazionale anticorruzione.

Scongiurato il blocco degli stipendi

Intanto sembra scongiurato il blocco degli stipendi di dicembre e delle tredicesime per i dipendenti degli enti locali colpiti dal massiccio attacco degli hacker. Lo ha reso noto in serata l'Agenzia per la cybersicurezza nazionale, informando che a dieci giorni dall'offensiva, l'attività svolta per contenere i danni “ha consentito il ripristino di tutti i servizi impattati, nonché il recupero dei dati oggetto dell'attacco per più di 700 dei soggetti pubblici nazionali e locali”, legati alla catena di approvvigionamento di Pa Digitale. Per le restanti amministrazioni, aggiunge, “resta l'esigenza di recuperare i dati risalenti ai 3 giorni precedenti l'attacco, avvenuto l'8 dicembre”. L'offensiva aveva criptato e reso inaccessibili diversi database.

La richiesta di riscatto

La rivendicazione di Lockbit è giunta con la richiesta di riscatto in criptovaluta da parte dei criminali informatici. Ma il ministro della Pa, Paolo Zangrillo, assicura: “Stiamo verificando, al momento non mi risultano problemi. Finora non ho ricevuto feedback di emergenza su questo fronte ma adesso approfondirò la questione”. Indaga la Polizia postale, mentre anche il Garante della privancy è stato avvisato. Per una buona metà dei servizi è stata avviata la procedura di ripristino attraverso backup, ma l'altra metà potrebbe essere difficilmente recuperabile.

Chi è Lockbit

Lockbit è uno dei gruppi cybercriminali più attivi che già in passato ha attaccato vari enti in Italia. “La loro finalità tipica è l'estorsione, l'elemento che fa un po’ specie è - a quanto risulta finora - l'assenza di esfiltrazione, che in genere precede la minaccia della loro pubblicazione: è possibile che l'infrastruttura attaccata non lo abbia permesso anche grazie alle contromisure di sicurezza in essere - ha commentato Matteo Macina della Cyber Security Italy Foundation - . Dall'esterno non è possibile conoscere i tempi di risoluzione del problema con certezza, che potrebbe essere risolto a breve oppure in tanti giorni, soprattutto nel caso in cui i dati non siano disponibili nel backup, ad esempio nel caso di registrazioni elettroniche non salvate che potrebbe essere necessario riprocessare manualmente”.