Un vasto attacco informatico ha colpito diverse pubbliche amministrazioni italiane che utilizzano i servizi di Westpole, con il gruppo hacker russo LockBit che ha rivendicato la responsabilità dell’attacco. Il gruppo ha richiesto un riscatto in criptovalute al provider che ospita i servizi di Pa Digitale, una società privata del gruppo Buffetti che fornisce prestazioni a circa 1.300 entità della pubblica amministrazione italiana, tra cui comuni, province e agenzie governative.

L’attacco hacker è partito già diversi giorni fa, precisamente l’8 dicembre, quando i server di Milano e Roma di Westpole sono stati colpiti. Westpole fornisce l’infrastruttura cloud utilizzata da Pa Digitale per i suoi servizi di gestione, compreso il pagamento degli stipendi ai dipendenti comunali. L’attacco ha coinvolto anche l’Agenzia per l’Italia digitale (Agid) e l’Autorità anticorruzione (Anac).

Al momento la situazione è sotto controllo

Il ministro della Pubblica Amministrazione, Paolo Zangrillo, ha affermato di non aver ricevuto segnalazioni di emergenza riguardo ai problemi di pagamento delle retribuzioni, ma ha dichiarato di approfondire la situazione. L’attacco è stato confermato anche dal direttore dell’Agenzia per la cybersicurezza italiana, Bruno Frattasi, che ha spiegato che l’Agenzia è intervenuta per analizzare l’impatto del malware e aiutare Westpole a ripristinare i servizi. Westpole e Pa Digitale hanno sporto poi denuncia alla Polizia postale e avvertito il Garante della privacy.

Secondo le fonti dell’Agenzia, l’attività svolta ha permesso il ripristino dei servizi e il recupero dei dati per oltre 700 entità pubbliche coinvolte nella catena di approvvigionamento di Pa Digitale. Tuttavia, restano ancora da recuperare i dati relativi ai tre giorni precedenti all’attacco. L’Agenzia ha precisato che l’attività svolta evita il mancato pagamento degli stipendi di dicembre e delle tredicesime per i dipendenti delle amministrazioni locali indirettamente colpite, mentre i rallentamenti dei servizi digitali riscontrati non sono direttamente causati dall’attacco informatico, ma dalla congestione degli accessi simultanei.

Nonostante si sia riusciti a ripristinare il 50% dei sistemi da parte di Westpole, la situazione rimane preoccupante per il restante 50%, al punto che anche l’Agenzia per la cybersicurezza nazionale (Acn) è intervenuta per aiutare a risolvere la situazione.

Chi è il gruppo LockBit, responsabile dell’attacco

Il gruppo LockBit, responsabile dell’attacco, è noto in Italia per aver attaccato la Regione Lazio nel 2021 e, presumibilmente, l’Agenzia delle Entrate nel 2022 (attacco poi smentito dalla stessa Agenzia delle Entrate). Si tratta di un gruppo di criminali informatici di origine probabilmente russa che ha sviluppato diverse versioni del ransomware che porta il loro nome. LockBit 3.0 è la terza versione utilizzata nell’attacco a Westpole, un ransomware che tipicamente richiede un riscatto in criptovalute.

Si tratta di un software in affitto (ransomware as a service), vale a dire un programma malevolo che viene sviluppato appositamente da un gruppo ristretto di programmatori e che viene poi ceduto ai cybercriminali per effettuare l’attacco vero e proprio, in cambio di una percentuale sui profitti. In questo caso per il pagamento, in criptovalute, è stato richiesto di utilizzare Zcash.

È probabile quindi che la mente vera e propria dietro l’attacco alle pubbliche amministrazioni italiane sia un altro gruppo di hacker, che si è poi appoggiato a LockBit per portare a termine l’operazione. Nei prossimi giorni ne sapremo sicuramente di più.

Potrebbe interessarti anche: Il ransomware LockBit prende di mira i Mac per la prima volta