Il Comune di Torino lotta da giorni contro un attacco ransomware: l’accesso alla rete tramite un PC dei Vigili Urbani

giovedì 2 dicembre 2021
Il Comune di Torino lotta da giorni contro un attacco ransomware: l’accesso alla rete tramite un PC dei Vigili Urbani

Il Comune di Torino è sotto attacco da giorni: il calvario è iniziato Lunedì 15 Novembre, di buona mattina quando i dipendenti sono rientrati al lavoro dopo il fine settimana e si sono accorti di severi malfunzionamenti alle proprie postazioni. Problemi tali da impedire loro di svolgere le proprie mansioni.

Alle 10.30 dello stesso giorno nella Home Page di Città di Torino, il Comune informa della sospensione dell’attività dell’anagrafe e di altri uffici per “malfunzionamento” al sistema informatico. Chi si aspetta un semplice problema tecnico viene smentito poco dopo:

“La Città di Torino comunica che, a causa di un probabile attacco hacker al proprio sistema informativo, è stata sospesa questa mattina l’attività di alcuni servizi, tra cui quelli anagrafici.”

Iniziano quindi a trapelare le prime voci che parlano di “attacco ransomware”, forse ad opera della banda di Conti: il sito di leak del ransomware Conti però non riporta, come di consueto, alcuna rivendicazione dell’attacco né pubblica sample dei dati esfiltrati dalla rete.

Per approfondire > Cyber attacchi in Italia: anatomia del ransomware Conti

Il comparto IT del comune mette offline 7500 postazioni e server per controllare e impedire la diffusione del ransomware all’intera infrastruttura IT. Alcuni dipendenti confermano di aver visualizzato una nota di riscatto al momento dell’accensione della postazione lavorativa. Qualche grattacapo anche per la Polizia Municipale, che registra il down dei una serie di servizi di sportello. Viene anche sospeso qualsiasi accesso remoto all’infrastruttura aziendale.

Tutto sembra però svolgersi per il meglio: la sera del giorno stesso il Comune comunica che il giorno dopo gli uffici sarebbero tornati alla piena attività, grazie al ripristino del sistema informatico comunale.

Effettivamente il 16 Novembre gli uffici comunali riaprono e sono operativi e si mettono all’opera per recuperare il tempo perso: l’ufficio Anagrafe deve recuperare circa 1000 appuntamenti saltati a causa del down dell’infrastruttura.

Qualche giorno, dopo l’assessore Comunale alla Sicurezza Gianna Pentenero cita apertamente il ransomware Conti, specificando che la diffusione del malware è iniziata nella notte tra il 12 e il 13 Novembre. Come di consueto in Italia, viene negato qualsiasi furto di dati (senza alcuna prova ovviamente) anche se si ammette che alcuni dati sono stati effettivamente criptati. Per il Comune le macchine colpite sono solo 250.

Sorpresa: gli attaccanti sono ancora nella rete!
Giusto pensare a ripristinare le infrastrutture e tornare celermente operativi, ma si dovrebbe anche considerare che tutte queste operazioni sarebbero da svolgersi dopo un buon grado di certezza rispetto al fatto che gli attaccanti non siano ancora presenti nella rete o non possano nuovamente sfruttare la stessa porta di accesso. Infatti, il Comune di Torino è di nuovo in crisi per attacco informatico: l’anagrafe è di nuovo in down. E’ Venerdì 29 Novembre.

Finalmente arrivano le prime risposte: la porta di ingresso nella rete è stata una postazione dei Vigili Urbani: da lì poi gli attaccanti avrebbero iniziato la diffusione laterale lungo tutta la rete, costringendo il team IT del Comune a mettere offline le 7500 macchine. Probabilmente gli attaccanti sono entrati nei sistemi di Remote Deskotp Service utilizzati dai dipendenti in smart working.

Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

L’intervento è celere e l’infezione viene limitata: resta una intera rete da ripristinare. L’assessora Gianna Pentenero parla di 500 giorni lavorativi. Si, due anni. La buona notizia però è che sono risultate criptate solo alcune cartelle condivise sulla rete interna e quattro postazioni (contenenti banche dati) della sede di Soris. Non ci sentiamo invece in condizione si poter confermare che non vi sia stato alcun data breach. Il sito web istituzionale risulta “non sicuro” al momento della scrittura dell’articolo, ma è online.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy