Ci sono novità riguardo l’attacco hacker che ha colpito le reti di Trenitalia e Rfi. Dopo che nella giornata di ieri 23 marzo, un infezione cryptolocker, una forma di ransomware che cripta i dati delle vittime colpite, ha bloccato i servizi offerti dai due gestori ferroviari, impedendo l’acquisto dei biglietti tramite le biglietterie (bloccate anche oggi) e self service, mentre l’acquisto online è ancora consentito. Già nella giornata di ieri, visto il modus operandi con cui è stato effettuato l’attacco si era parlato di un possibile attacco russo, senza sapere se si trattasse di un attacco politico, o più semplicemente di qualche gruppo anarchico.
La conferma è arrivata nella mattinata di oggi e va nell’ordine della seconda ipotesi. Infatti a seguito dei dati raccolti dagli inquirenti, l’aggressore è stato identificato nel gruppo Hive, di origine russa, i cui affiliati arrivano appunto dalla Russia, ma anche dalla Bulgaria. Il gruppo responsabile di altri recenti attacchi, anche in Italia come quello all’Ulss di Padova, dove vennero pubblicati i dati rubati a seguito del mancato pagamento del riscatto richiesto.
Anche in questo caso vi è stata una richiesta di pagamento, infatti Hive ha richiesto a 5 milioni di dollari che dovranno essere pagati entro 3 giorni, altrimenti la cifra verrà raddoppiata. Il pagamento dovrà essere effettuato in bitcoin. Vi è stato anche un piccolo inconveniente in tutto questo, in quanto il canale riservato per la trattativa è in qualche modo finito su alcuni gruppi Telegram. Le indagini sono ancora in corso, soprattutto per capire di quali dati il gruppo sia entrato in possesso. Non è da escludere che trattandosi di dati relativi ai servizi di biglietteria, vi siano anche quelli dei clienti, rendendo la situazione più complessa del previsto, anche per Trenitalia stessa.
Non solo Trenitalia: ecco i precedenti attacchi di Hive
Abbiamo già parlato dell’attacco contro l’Ulss di Padova e della pubblicazione dei dati rubati, avvenuta lo scorso gennaio. Ma il gruppo si era roso conto di altri attacchi, come quello contro il quotidiano americano Metro o a MediaMarkt in Olanda e Germania. Uno dei più massicci è avvenuto lo scorso novembre, quando a essere colpita è stata Mediaworld, i cui server vennero colpiti da un attacco molto simile a quello lanciato ieri contro Trenitalia e Rfi. In quel caso Hive chiese 50 milioni per il riscatto, ma non si sa se siano stati effettivamente pagati.
Fonte: Repubblica