Mercoledì 23 marzo 2022 la rete Trenitalia/Ferrovie dello Stato è stata vittima di un attacco hacker via ransomware, che ha causato il malfunzionamento di alcune biglietterie fisiche e self service in diverse stazioni, costringendo la società a procedere con uno scollegamento dei terminali, oggi, fortunatamente, ripristinati.
Il malware si è infiltrato nei sistemi causando anche problemi sui tabelloni e sugli schermi presenti nelle stazioni e sui binari.
L’impatto dell’attacco, da quanto comunicato dalla stessa azienda, non ha riguardato disservizi o inoperatività dei treni, anche se qualche ritardo si è registrato, soprattutto per i treni merci, poiché alcuni passaggi sono stati effettuati con comandi manuali, essendo scollegati i sistemi automatici.
Anche altre aziende, come Trenord, sono state coinvolte indirettamente nell’attacco, poiché utilizzano un sistema di bigliettazione collegato a quello di Trenitalia.
A quanto pare i responsabili dell’attacco sono gli hacker del gruppo HIVE, gang che ha già attaccato, con richieste di riscatto, grandi aziende come Mediamarkt e Mediaworld.
Nella giornata del 23 marzo la gang HIVE ha chiesto a Trenitalia prima un riscatto di 5 milioni di dollari in Bitcoin, per poi aumentarlo a 10 milioni di dollari, perché qualcuno aveva reso pubblico il link della chat nella quale era avvenuta la trattativa, indispettendo, così, i cyber criminali. Se la società non volesse pagare, verranno diffusi tutti i dati e le informazioni raccolti in maniera illecita.
Per il momento, però, non è stata ufficializzata alcuna comunicazione in merito alla trattativa.
Resta massima l’allerta nel caso di data breach ai danni degli utenti e di rivendita accessi a terze parti. Questa preoccupazione, soprattutto vissuta dagli utenti che proprio in quelle ore hanno provato ad acquistare i biglietti, senza successo, ha certamente causato un danno d’immagine alla società, con conseguente danno patrimoniale, perché molti avranno evitato di acquistare titoli di viaggio nelle ore successive, non potendo dare per certa la risoluzione della problematica relativa alla tutela dei dati personali e bancari.
Sui social network, infatti, in queste ore, si stanno moltiplicando vertiginosamente i post e le foto che testimoniano i disservizi nelle stazioni. Una pubblicità negativa difficile da arginare nell’immediato.
Spesso le agenzie investigative autorizzate sono chiamate ad intervenire in questo tipo di situazioni con delle indagini specifiche. Gli investigatori privati intervengono su più fronti: tramite attività di Web Intelligence, OSINT e SOCMINT, per la raccolta di informazioni legate all’attacco e alle sue vittime tramite la consultazione delle fonti aperte, attraverso la bonifica dei dispositivi coinvolti, e con attività di Computer forensics, Digital forensics e Cyber security.
Inoltre viene svolta, in accordo con il cliente, una successiva indagine reputazionale, poiché molto spesso, come abbiamo appena visto, le imprese subiscono un danno d’immagine molto elevato, perché viene minata la fiducia che gli utenti ed i clienti ripongono nell’azienda.
In più le aziende devono tenere conto del fattore umano interno, ossia della responsabilità del personale, del quale l’agenzia investigativa può verificare l’idoneità e la fedeltà, perché molti data breach o attacchi informatici sono causati proprio dalla disattenzione, dall’incompetenza o dalla volontà degli stessi dipendenti.
Come possono intervenire gli investigatori privati, in questi casi?
