Un gruppo russo ha rivendicato l'attacco hacker ai sistemi degli enti locali

È stato rivendicato dal gruppo hacker russo Lockbit l'attacco ransomware che negli ultimi dieci giorni ha investito pubbliche amministrazioni in Italia, tra le quali anche alcune in provincia di Brescia, che si avvalgono dei servizi di Westpole. A renderlo noto è l'Ansa. 

A fronte di database criptati e inaccessibili, dai cyber pirati sarebbero giunte richieste di riscatto in criptovalute al provider che ospita diversi servizi di Pa Digitale, società privata del gruppo Buffetti che eroga prestazioni a 1.300 realtà della pubblica amministrazione italiana.

Tra i prodotti forniti e ancora bloccati ci sono i sistemi di rendicontazione di buste paga e di fatturazione elettronica.

La situazione nel Bresciano

Per i siti istituzionali colpiti nel Bresciano la situazione sta progressivamente migliorando, grazie al certosino lavoro di ripristino di PA Digitale Spa, il fornitore che ha patito gli effetti dell'accatto subìto da Westpole, ora rivendicato.

A Gambara tra i vari servizi è stata riattivata la posta elettronica certificata (Pec) e complessivamente il 50% delle funzionalità messe ko dal «ramsomware» dell'8 dicembre. Situazione non dissimile a Cazzago San Martino, il primo dei siti colpiti emerso nel Bresciano.

Anche per la Provincia di Brescia la criticità è destinata a rientrare definitivamente, anche se è verosimile che trattandosi di una piattaforma web molto più articolata (considerata la mole di attività gestite dal Broletto) i tempi di ripristino, al di là della buona volontà del fornitore saranno più lunghi.

Cos'è successo

Il cyber attacco ha raggiunto la serie di server di Westpole a Milano e Roma. Westpole è la casa di sviluppo la cui infrastruttura cloud è utilizzata dalla società Pa Digitale. 

L'offensiva informatica alla supply chain di Westpole era stata resa nota lo scorso 8 dicembre e si è quindi riverberata su Pa Digitale, che fornisce servizi di gestione digitali (demografici, anagrafici, pagamento di stipendi ai dipendenti comunali) a circa 1.300 realtà della Pubblica amministrazione italiana, tra cui circa 500 Comuni, alcune Province, diverse Unione di Comuni e Comunità montane ed enti tra cui l'Agenzia per l'Italia digitale (Agid) e l'Autorità anticorruzione (Anac).

L'infrastruttura della società è stata pesantemente compromessa dal ransomware di Lockbit. Gli hacker potrebbero aver sfruttato vulnerabilità già note dei sistemi. Per una buona metà dei servizi è stata avviata la procedura di ripristino attraverso backup; l'altra metà potrebbe essere difficilmente recuperabile. Potrebbe così essere necessario, ad esempio, rifare i conti per quanto riguarda gli stipendi, cosa che potrebbe far slittare il pagamento da dicembre a gennaio in alcuni casi. 

L'attacco era stato confermato nei giorni scorsi dal direttore dell'Agenzia per la cybersicurezza italiana, Bruno Frattasi. Acn, aveva spiegato, «è intervenuta per analizzare la vastità dell'impatto e indicare le modalità di recupero dei dati e per aiutare Westpole a ripristinare i suoi servizi come pratica di resilienza. L'Agenzia ha infatti due funzioni: una è proteggere la superficie, la seconda è appunto far ripartire i servizi». Sia Westpole che Pa Digitale hanno sporto denuncia alla Polizia postale ed hanno avvertito il Garante della privacy.