Attacco ransomware alla PA: in corso il recupero dati dei soggetti colpiti
È stato certamente uno degli attacchi cyber in Italia più significativi ed estesi di sempre, anche se per fortuna le previsioni più pessimistiche, come la mancata erogazione di stipendi e tredicesime, sembrano essere scongiurate. Ci riferiamo all’attacco dell’8 dicembre, quando il gruppo di criminali informatici Lockbit ha colpito tramite ransomware il fornitore di servizi in cloud Westpole, alla cui infrastruttura si appoggiano importanti realtà amministrative italiane tra cui PA Digitale e centinaia di Comuni.
Lockbit è attivo dal 2019 ed è già stato autore di attacchi alla Regione Lazio nel 2021 e nel 2022 all’Agenzia delle entrate. Nell’attacco dell’8 dicembre anche il sistema Quifattura è stato coinvolto e ciò ha impedito a diversi enti di registrare le fatture e trasmettere gli adempimenti IVA nei tempi previsti.
Questo l’elenco delle principali vittime dell’attacco:
- Amministrazioni centrali: Quirinale (Segreteria del Presidente della Repubblica), AGCOM, ANAC (Autorità Nazionale Anticorruzione) Consiglio Superiore della Magistratura, Autorità di regolazione per Energia, Reti e Ambiente, Ministero dell’Ambiente e della Tutela del Territorio e del Mare, Fondo di Previdenza per il personale del Ministero dell’Economia e delle Finanze.
- Amministrazioni comunali: Lecco, Imperia, Cernusco Sul Naviglio, Samarate, Castelleone, Arese, La Spezia, Orbetello, Isola Del Giglio, Fiumicino, Falconara Marittima, Foligno, Cagliari, Carbonia, Villaricca, Ischia e Ascoli Piceno. Colpite anche la Comunità Montana Valtellina di Tirano, l’Unione dei Comuni Collinari del Vergant e le Amministrazioni Provinciali di Brescia, Lecco, Massa Carrara, Macerata e Lodi.
- Enti: Ente Parco Nazionale Dolomiti Bellunesi, EDiSU Pavia, ERSAF Lombardia (Ente Regionale per i Servizi all’Agricoltura e alle Foreste), ARPA (Agenzia Regionale per la Protezione dell’Ambiente della Lombardia), Accademia della Crusca, Soprintendenza Speciale per il Colosseo il Museo Nazionale Romano e l’Area Archeologica di Roma, Ente Parco Nazionale dell’Aspromonte, Consorzio Autostrade Siciliane, Parco Nazionale dell’Arcipelago di La Maddalena.
Oggi, ad alcuni giorni dell’annuncio dell’attacco, la situazione appare meno “drammatica” di quanto si fosse previsto inizialmente, sebbene continuino a esserci disservizi diffusi. L’Agenzia per la Cybersicurezza Nazionale (ACN) da diversi giorni è in contatto con Westpole e con PA Digitale per dare loro il massimo supporto al contenimento dei disservizi dovuti all’attacco.
L’attività svolta ha consentito il ripristino di tutti i servizi impattati, nonché il recupero dei dati oggetto dell’attacco per più di 700 dei soggetti pubblici nazionali e locali legati alla catena di approvvigionamento di PA Digitale. Per le restanti Amministrazioni (sono circa 1.000 i soggetti pubblici legati contrattualmente a PA Digitale per l’erogazione di servizi gestionali di varia natura), resta invece l’esigenza di recuperare i dati risalenti ai 3 giorni precedenti l’attacco.
“È inoltre da precisare, come confermato dalla stessa società PA Digitale, che l’attività svolta consente di scongiurare la mancata erogazione degli stipendi di dicembre e delle tredicesime a favore dei dipendenti di alcune Amministrazioni locali indirettamente impattate”, si legge sul sito di ACN. “Infine, i rallentamenti dei servizi digitali che si sono registrati nella mattinata odierna sono dovuti alla congestione degli accessi simultanei e non rappresentano una conseguenza diretta dell’attacco informatico”.
Anche il Prefetto Bruno Frattasi, Direttore di ACN, ha ribadito la gravità ed estensione dell’evento, che a suo dire va inquadrato nel contesto delle tensioni geopolitiche globali che in Italia vedono l’incremento di azioni estese condotte verso l’intera superficie digitale della Repubblica, con uno specifico intento di danneggiamento delle funzioni essenziali che riverberano sui cittadini. “In questo quadro, consapevole della propria funzione, PA Digitale sta supportando tutti i propri clienti, pubblici e privati mediante tutto il proprio personale, con una presenza operativa continua e con le informazioni rese disponibili dalle parti interessate, a cominciare da Westpole vittima dell’attacco”, ha dichiarato Frattasi.
La stessa PA Digitale ha confermato di aver “ripristinato le funzionalità operative per tutti i clienti della Pubblica Amministrazione coinvolti nell’attacco, resi di nuovo operativi a partire dalle 08:00 del 18 dicembre 2023; sono attualmente in corso attività di miglioramento delle prestazioni relative ai nuovi impianti, associate alla necessità di ampliamento della banda utilizzabile in corso. Stiamo quindi accompagnando gli Enti pubblici ad un progressivo ritorno alla piena normalità”.
PA Digitale ha anche confermato che il sistema di Conservazione è intatto e integro e che non si è verificata alcuna compromissione di dati: “al momento il sistema di Conservazione è tenuto in sicurezza e non riattivato in attesa di una completa stabilizzazione della situazione generale e dei necessari controlli di sicurezza.” Ripresa anche la fatturazione elettronica: “è stata ristabilita l’operatività delle connessioni con il Sistema di Interscambio (SDI) di Agenzia delle Entrate, a cui va riconosciuta la totale collaborazione dimostrata nella tempestiva risoluzione delle richieste che le sono state indirizzate; gli utenti dell’applicazione Fatturazione Elettronica stanno iniziando a riprendere la generazione e l’invio delle fatture elettroniche, in sicurezza di accessi”.
Vista l’estensione dell’attacco e considerando il numero di soggetti coinvolti, bisognerà però attendere ancora un po’ di tempo sia per ripristinare tutti i servizi, sia per capire l’entità dell’attacco nella sua interezza e accertarsi davvero che non siano stati compressi o esfiltrati dati.