La gang ha fatto apparire sui pc colpiti un messaggio con le indicazioni per essere contattata, ma il Comune non ha mai avuto alcuna intenzione di trattare con i cybercriminali.
I servizi di front office per i cittadini erogati tramite lo sportello telematico polifunzionale risultano funzionanti, mentre quelli erogati presso sportelli fisici sono in corso di riattivazione in quanto ogni singola postazione di lavoro deve essere bonificata.
Lo ha dichiarato in una nota il Comune di Ferrara a due settimane dall’attacco informatico subìto da parte della gang criminale Rhysida Ransomware. Per il Comune anche i servizi interni all’ente (gestione del personale, contabilità, acquisti e liquidazioni, ecc.) stanno tornando fruibili in funzione della distribuzione di nuove postazioni di lavoro certificate. Per accelerare la ripresa dei servizi, e di conseguenza mitigare i disagi dei cittadini e degli operatori interni, abbiamo ottenuto il supporto dell’Università degli Studi di Ferrara che ha fornito proprio personale tecnico.
“Al momento non esistono evidenze che i dati personali dei cittadini siano stati esfiltrati, né risulta che il gruppo criminale li abbia diffusi sul dark web. Al tal fine procedono le verifiche con aggiornamenti periodici all’Autorità garante. La cifratura dei dati personali può comportare la perdita di documenti relativi a un insieme circoscritto di cittadini, mentre la potenziale esfiltrazione di vecchi dati di archivio potrebbe potenzialmente interessare tutti i cittadini“, ha dichiarato il Comune.
“La gang ha fatto apparire sui pc colpiti un messaggio con le indicazioni per essere contattata. Ovviamente questo messaggio è stato segnalato alla polizia delle comunicazioni. Il Comune non ha alcuna intenzione di trattare con criminali. La ricerca della causa scatenante dell’attacco è ancora in corso, in collaborazione con il Response Team, spiega la Pa.
Chi ha attaccato ha delle altissime conoscenze tecniche
“Chi ha attaccato ha delle altissime conoscenze tecniche – ha affermato il dirigente comunale al quotidiano La Nuova Ferrara -, cancellare i backup di Lepida non è un operazione banale. Il response team non ha ancora trovato tracce del punto d’ingresso – spiega Poletti -. Forse si tratta di un computer che, per un motivo o per l’altro, conservava un qualche tipo di privilegio di amministratore e da lì è partita l’escalation. C’è un computer indiziato come uno dei primi usati per l’attacco, ma c’è evidenza del punto d’ingresso”. Improbabile un gancio volontario – o addirittura doloso – interno o tra i partner del Comune, molto più facile che gli hacker abbiano pescato a strascico finché non hanno individuato un sistema con delle vulnerabilità da sfruttare (il classico allegato in email da non aprire, ad esempio), e quello del Comune aveva dei punti deboli stante anche la vetustà di una sua parte a cui solo negli ultimi 3-4 anni si è iniziato a porre rimedio con importanti aggiornamenti. “Spero che da questa vicenda riusciremo a uscire come un esempio della gestione di una crisi”, si augura Poletti.
L’Amministrazione proseguirà la propria collaborazione, insieme ai team interni ed esterni coinvolti, con tutte le Autorità preposte, in particolare la Polizia delle Comunicazioni e l’Agenzia per la Cybersicurezza Nazionale (ACN). Terrà inoltre allineato il Garante Privacy mediante periodiche segnalazioni integrative, che fanno seguito a quella preliminare inviata con tempestività a ridosso dell’evento.