Trenitalia: «Non abbiamo ricevuto direttamente alcuna richiesta di riscatto»

In mattinata l’allarme intrusione da cryptolocker, le dirette contromisure di Trenitalia – con i dipendenti che hanno lavorato per tutto il giorno al di fuori dalla rete -, il blocco dei terminali in biglietteria e il prosieguo regolare delle attività su tutta la linea ferroviaria, con la possibilità di acquistare il tagliando attraverso app e portale online de Le Frecce. Nel pomeriggio, le voci più disparate: ANSA lancia la notizia di una possibile matrice russa dell’attacco, citando fonti di sicurezza (ma utilizzando comunque un tono dubitativo rispetto alla matrice stessa); il Sole 24 Ore, invece, rilancia dicendo che sarebbe stato chiesto un riscatto da 5 milioni in criptovalute. Tuttavia, è mistero su chi abbia ricevuto questa richiesta di riscatto, dal momento che Trenitalia, direttamente contattata da Giornalettismo, ha smentito la circostanza.

LEGGI ANCHE > Fonti di sicurezza: «Attacco hacker a Ferrovie potrebbe essere riconducibile ad hacker russi»

Riscatto Trenitalia, la smentita dell’azienda

Trenitalia, inoltre, ribadisce come non sia possibile, al momento, risalire all’identità e alla nazionalità dei responsabili dell’intrusione attraverso il malware cryptolocker, spiega ancora una volta che questa intrusione è avvenuta dai terminali di alcuni utenti della rete interna e che soltanto pochi file – almeno queste sono le indicazioni che arrivano direttamente dal reparto IT dell’azienda e dagli esperti di sicurezza – hanno visto modificata la loro estensione e sono, per questo, irraggiungibili. Del resto, Trenitalia – proprio per evitare problemi più seri – ha immediatamente comunicato, questa mattina, ai dipendenti di non accedere alla rete e di lavorare al di fuori di quest’ultima, anche in modalità smart-working. Stando alle ultime comunicazioni, questa mossa – al momento – ha contribuito a circoscrivere eventuali perdite di dati e ha permesso alla circolazione dei treni di svolgersi in maniera regolare.

Possibile che la notizia legata alla nazionalità russa degli hacker sia stata desunta dal precedente utilizzo del malware cryptolocker (che produce attacchi ransomware, quindi con richiesta di riscatto) e che questo abbia portato all’associazione di questo modus operandi anche a quanto accaduto a Trenitalia. Tuttavia, nessun dipendente – a quanto risulta questa sera, 23 marzo – è stato raggiunto da richieste di riscatto (non sono arrivate comunicazioni all’azienda in tal senso), né è presente – al momento – alcuna rivendicazione pubblica dell’azione. Gli unici elementi a disposizione si trovano all’interno del DLS del sito web dove è avvenuta una strana conversazione tra quelli che sembrano membri del gruppo hacker Hive Group (proveniente dall’Europa orientale, non soltanto dalla Russia: l’intento di questo gruppo di hacker non sarebbe geopolitico, ma esclusivamente quello di far soldi) e utenti generici (secondo RedHotCyber, gli accesi al DLS sono stati diffusi via Twitch), non di certo riferibili all’azienda (cosa che conferma la comunicazione di prima mano che abbiamo ricevuto da Trenitalia). All’interno di questa conversazione si parla di una cifra di 5 milioni in bitcoin come riscatto che potrebbero diventare 10 milioni in tre giorni: sarebbe il prezzo per sbloccare i dati compromessi.

La situazione, comunque, è in continua evoluzione e nelle prossime ore andrà monitorata.