In data 23 febbraio, il presidente di EAV, Ente Autonomo del Volturno, che gestisce i collegamenti ferroviari della Cumana e della Vesuviana nella provincia di Napoli ha inviato un messaggio su WhatsApp nel quale avvisava:
Eav – Abbiamo subito un forte attacco ransomware ai sistemi informatici aziendali.
Il sistema dì sicurezza ha retto e sono incorso le attività di ripristino dei servizi e dei dati.
Nessuna ripercussione sul servizio ferroviario e su gomma e non è stata registrato alcun furto/dispersione di dati.
Per maggior sicurezza sono stati sospesi i principali servizi informatici aziendali, posta compresa e quindi tutti i servizi amministrativi subiscono ritardi.
Da domani si prevede verranno riattivati progressivamente i servizi garantiti e certificati.
Sono passati dieci giorni ed il ripristino della rete informatica ancora non è avvenuto. Come effetto dell’attacco ransomware sembrerebbe, dalle prime indiscrezioni diffuse sulla stampa, che i monitor siano stati spenti per questo motivo.
La verità sarebbe un’altra, però, secondo una fonte molto informata sulla questione contattata da Matrice Digitale.
L’attacco informatico subito da EAV non sarebbe di tipo ransomware, ma malware. Questo è il motivo per il quale sono giorni che si cerca una rivendicazione dell’intrusione da parte degli esperti del settore nei siti, prevalentemente del dark web, dove risiedono i bollettini ufficiali delle più note organizzazioni criminali dedite alla criptazione dei dati con il fine di assicurarsi un riscatto di natura economica dalle vittime.
Ed è per questo anche che, a richiesta della redazione ai diretti interessati di poter avere accesso alla schermata di blocco dei pc infetti, è seguito un silenzio assordante.
Chi ha avuto modo di vedere dal vivo cosa sia realmente accaduto sostiene che i dati contabili e gestionali siano sì stati criptati, ma l’obiettivo primario sembrerebbe quello di un attacco finalizzato a prendere possesso dei pc in modo tale da poterli utilizzare per sferrare un DDOS verso altri obiettivi.
Qualcosa, quindi, sarebbe andato storto agli attaccanti che avrebbero attivato dei malware dormienti da molto e sono stati scoperti a causa della presenza di un ransomware che ha generato azioni visibili e poco “stealth“.
Nei prossimi giorni si riuscirà a comprendere definitivamente se la natura sia quella del ransomware, con relativa rivendicazione web e richiesta di riscatto, oppure del malware “andato a male” con il conseguente ripristino della rete informatica che prevede comunque tempi lunghi, essendo stato diramato l’annuncio nell’ultima settimana del mese scorso.
