Il Comune di Palermo sta subendo, dalle 6 circa della mattina del 2 giugno, un attacco informatico che ha colpito i sistemi informatici all’interno della rete su cui è ospitato il sito istituzionale, la gestione della centrale operativa della polizia municipale e il sistema di gestione della video sorveglianza.
Al momento non ci sono state comunicazioni ufficiali che dettagliassero l’incidente, ma non dovrebbe trattarsi di un attacco DDoS (e questo, quindi, escluderebbe anche che dietro l’attacco ci siano i filo-russi della cyber gang KillNet): molto più probabile si tratti di un ransomware. Ecco la nostra analisi.
Aggiornamento del 12 giugno 2022
Dopo il comunicato ufficiale di 3 giorni fa, i dubbi sul ransomware ormai non esistono più. L’incidente è una certezza che si è nella pratica rivelata, prima con la rivendicazione di Vice Society, e poi con la pubblicazione, nella tarda sera di ieri, di una prima tranche di documenti esfiltrati dalla struttura informatica dell’ente comunale.
Anche in questo caso, come in tanti altri nell’ultimo periodo, notiamo sempre gli stessi problemi derivanti da una scarsa igiene informatica a tutti i livelli professionali, sui luoghi di lavoro. Tra i documenti rubati infatti, appartenenti ad un computer interno alla rete del Comune di Palermo, presumibilmente una workstation di un dipendente (o più di una), notiamo analisi sanitarie del tutto personali; documenti d’identità e verbali per sanzioni della polizia locale dell’ente in questione; patenti e un grande numero di dati personali (residenza, domicilio) di vari cittadini palermitani che hanno affidato a questo ente i loro documenti, con la speranza di una sana conservazione degli stessi.
Non è possibile diffondere i singoli documenti, per ovvie motivazioni di privacy degli interessati, ma vi basti pensare che cartelle come quella in immagine ce ne sono una per diversi mesi dell’anno, e ogni singolo documento corrisponde ad un verbale sanzionatorio, con dati e scansioni di documenti d’identità all’interno.
Aggiornamento del 09 giugno 2022
L’attacco è stato rivendicato nelle ultime ore dalla cyber gang Vice Society. Il che seppur non ancora ufficializzato dall’organizzazione, farebbe pensare con estremamente più alta probabilità ad un attacco di tipo ransomware. I file rubati durante l’attacco non sono ancora disponibili e il gruppo criminale ha stimato un tempo di tre giorni per il pagamento del riscatto. Scaduto il quale termine, dati di appartenenza all’infrastruttura interna del Comune di Palermo, saranno di pubblico dominio scaricabili direttamente dal sito della cyber gang.
Arriva il comunicato ufficiale. Il Comune di Palermo, tramite la propria società fornitrice di servizi IT ha emesso un comunicato ufficiale sull’accaduto, intorno alle ore 15.00 della stessa giornata della rivendicazione dell’attacco da parte della gang criminale. Per la prima volta in maniera ufficiale, viene definito l’attacco di tipo ransomware. Il comunicato è stato diramato via Twitter dall’account social dell’ente colpito.
Attacco hacker. Amministrazione comunale: "Garantiti i servizi demografici"
In riferimento al grave attacco hacker dei giorni scorsi alle infrastrutture tecnologiche del Comune di Palermo sono state poste in essere una serie di attività volte a contenere l'attacco ransomware. pic.twitter.com/tjHVEYdNYz
— Comune di Palermo (@ComunePalermo) June 9, 2022
Attacchi all’Italia, i “russi” Killnet danno una lista dei target: ma attenti a non fare allarmismo
Indice degli argomenti
Tutto cautelativamente spento
Paolo Petralia Camassa, assessore all’innovazione del Comune colpito, sul proprio profilo social scrive che “al momento il sistema è stato cautelativamente spento e isolato dalla rete”, definendo la situazione come “seria” e i disservizi potrebbero perdurare per giorni.
In effetti il sito web è completamente irraggiungibile dalle prime ore di questa mattina, così come il sistema di telecamere cittadino. Si esclude l’ormai noto e diffuso attacco DDoS proprio per questo dettaglio: i sistemi sono stati spenti manualmente, il sito dunque è irraggiungibile non per via dell’attacco stesso, ma proprio perché il server non può stare acceso erogandone il servizio.
Ritorna, come in passato, l’annoso problema già evidenziato da numerosi esperti per altri casi simili recenti, della segmentazione della rete. Evidentemente anche in questo caso non sufficiente ad arginare il problema.
Cosa può essere successo al Comune di Palermo
Molte informazioni fanno pensare ad un attacco di tipo ransomware. Va comunque specificato che al momento non ci sono evidenze tangibili di questo dettaglio, non sono emerse rivendicazioni da eventuali gruppi criminali dietro tale operazione. Inoltre, il Comune di Palermo esclude siano state fatte richieste di riscatto, almeno fino a questo momento: “Fino ad ora non abbiamo ricevuto rivendicazioni e dai controlli fino ad ora effettuati non ci sarebbero dati criptati o rubati per chiedere un riscatto”, afferma ancora Petralia.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Tra le indisponibilità a causa dello switch off della rete del Comune ci sono anche le app per pagare ZTL e parcheggi, che quindi hanno smesso di funzionare. Così come gli stessi varchi delle zone a traffico limitato non sono attivi.
Per ripristinare la situazione ad uno stato di normalità, il Comune ha attivato una task force tramite SISPI, la società partecipata dal Comune che si occupa del settore IT per l’infrastruttura palermitana. SISPI sta infatti cercando di ricostruire gli elementi danneggiati della rete, al fine di poterla rimettere online.
Ciò che più preoccupa gli esperti, ma anche l’amministrazione comunale stessa, sono i dati sensibili (in quantità) contenuti nei sistemi di gestione anagrafe e tributi del Comune. Non è chiaro, ad ora, se questi sistemi siano stati intaccati: ad ogni modo, l’amministrazione fa sapere di aver già provveduto a effettuare opportuna segnalazione alla polizia postale e sull’episodio è già stato aperto un fascicolo in procura, svela La Repubblica.
