Comune sotto attacco hacker, l'esperto: "Dati di accesso in vendita nel dark web, dubbi sulla comunicazione"

Una mail malevola per la diffusione di un "virus" aperta da un computer del Comune, una password sottratta a un dipendente dell'amministrazione che magari utilizza le stesse credenziali per l'ingresso ad altre piattaforme nel privato, una falla nella infrastruttura informatica di Palazzo delle Aquile sfruttata per intrufolarsi nella rete municipale, dati di accesso in vendita nel dark web. Sono diverse le ipotesi che potrebbero spiegare l'attacco hacker che dallo scorso 2 giugno ha messo fuori uso il sito del Comune di Palermo. "Ma al momento non sono stati resi noti i dettagli tecnici, come la modalità utilizzata dagli attaccanti per compromettere l’infrastruttura del Comune. Vi sono investigazioni in corso volte a comprendere come siano riusciti ad entrare e se vi sia stato furto di informazioni. E’ probabile che i tecnici al lavoro non abbiano ancora chiaro come si sia svolto l’attacco". A dirlo è Pierluigi Paganini, esperto di cybersecurity e intelligence, che analizzando il caso lo definisce come "uno degli incidenti più importanti che hanno colpito Comuni italiani di queste dimensioni".

Paganini, come mai otto giorni non sono ancora bastati per far tornare online il sito?

"Non si può far ripartire il sito se prima non si scopre quale sia stata la modalità con la quale sono stati violati i sistemi. Perché sarebbe inutile ripristinare le operazioni senza aver eradicato la minaccia ed individuato le vie di accesso sfruttate dagli attaccanti. In più teniamo presente la complessità dell'infrastruttura informatica colpita che necessità di accurate attività di indagini e messa in sicurezza. Non parliamo della rete di piccole dimensioni come quella di una media azienda, bensì dell’infrastruttura di un Comune da cui dipendono una serie di servizi al cittadino e che contiene informazioni sensibili".

E' possibile che fosse presente un difetto strutturale nell'architettura del sistema informatico del Comune? 

"Sì, ma non è l'unica opzione. Magari un dipendente comunale ha aperto una mail con un allegato che ha avviato il processo di infezione, da lì l’attaccante ha condotto una serie di movimenti laterali all’interno della rete del Comune allo scopo di fare ricognizione ed infettare il maggior numero di sistemi. Oppure potrebbe essersi trattato di un accesso al sistema da parte di un esterno entrato in possesso di una password. Talvolta si utilizzano le stesse credenziali per il lavoro, per i social, per la propria posta privata. Circola inoltre, in questi giorni, la notizia che i dati di accesso al Comune di Palermo fossero in vendita dal 25 maggio nel dark web, anche questa è un'ipotesi plausibile".

La Sispi, società che si occupa della gestione del sistema informatico del Comune di Palermo, ha reso note tutte le attività messe in atto dopo l'attacco. C'è qualcosa che non la convince?

"Si sta agendo com'è di regola in queste situazioni. Sispi ha nominato un comitato di crisi, ha denunciato il fatto alla Digos e trasmesso la segnalazione alla polizia postale. In più ha fatto sapere che sono disponibili i backup fondamentali per il ripristino del sistema. L'unica domanda che mi faccio è: come mai non ci si è accorti in tempo dell'attacco in modo da rispondere ed evitare che l'infezione della struttura si propagasse? Altro aspetto che lascia perplessi è la comunicazione ufficiale circa l’attacco 'ransomware' avvenuta a distanza di una settimana".

Il gruppo Vice Society ha rivendicato l'attacco e ha pubblicato un timer. Si parla di un possibile riscatto chiesto al Comune?

"Il gruppo Vice Society è un gruppo criminale che adotta un doppio modello di estorsione: prima ruba dati alle vittime e poi ne minaccia la pubblicazione, chiedendo appunto un riscatto. Questo per evitare che le vittime non paghino perché ripristinino i dati dai backup. La pubblicazione serve a metter pressione alle vittime, che temendo impatti sui clienti e partner talvolta preferiscono pagare. Di solito le gang dietro attacchi ransomware pubblicano anche dei 'sample', degli esempi, ovvero una parte dei dati rubati in modo da dimostrare di aver realmente compromesso i sistemi delle vittime e mettere maggiore pressione ad esse, questo però non è ancora avvenuto nel caso di Palermo".

A quanto potrebbe ammontare la cifra chiesta per il riscatto?

"Le richieste di riscatto sono estremamente varie e dipendono da molti fattori, quali il volume di dati trafugati e la dimensione della struttura colpita: si va dai 2-3 milioni fino ad arrivare ai 10 milioni di euro. Ma ovviamente pagare un riscatto è illegale e un ente come il Comune di Palermo non può farlo".

E allora perché si colpisce un ente pubblico?

"Nella speranza che l’attacco porti ad una paralisi dei servizi critici e possa indurre le autorità a qualche forma di negoziazione. Inoltre si tenga presente che ci sono altri modi di monetizzare l’attacco da parte dei criminali informatici anche senza il riscatto. Si pensi al fatto che eventuali dati di persone potrebbero essere messi in vendita sul 'black market', ma preciso che nel caso dell'attacco al Comune di Palermo non sappiamo il tipo di dati trafugati. La disponibilità di informazioni come quelle gestite da un Comune potrebbe esporre i cittadini a molteplici tipologie di minacce, dal furto d’identità alle frodi finanziarie".