Il gruppo è lo stesso che aveva colpito Regione Lazio e Sogei. Salvi gli stipendi di dicembre dei dipendenti pubblici.
Roma – L’attacco hacker che ha colpito la pubblica amministrazione sarebbe stato messo a segno da un gruppo già noto in Italia. Si tratta di Lockbit, un gruppo di criminali informatici che ha sviluppato diverse versioni dell’omonimo virus ransomware, già autore di attacchi alla Regione Lazio nel 2021 e l’anno successivo a Sogei. A rivelarlo è Italian Tech.
Quello che ha colpito Westpole, azienda che fornisce servizi cloud alla pubblica amministrazione, spiegano fonti vicine alle indagini, sarebbe la terza versione del ransomware: Lockbit 3.0. Il tipo di attacco è di quelli che prevede la richiesta di riscatto. Non si sanno molti dettagli sulla richiesta, ma con buona probabilità sarà in criptovalute, come spesso il gruppo Lockbit ha fatto in passato. Da quanto è emerso finora, l’attacco sarebbe piuttosto ampio. E sta tenendo all’opera i tecnici dell’Agenzia per la cybersicurezza nazionale (Acn).
Al momento si stanno ancora calcolando i danni del virus. Certo, per ora, è che Westpole è riuscita a ripristinare il 50% dei propri sistemi, mentre il restante 50% preoccupa: il ripristino è lento e difficile e c’è il rischio concreto che le pubbliche amministrazioni colpite non possano erogare i servizi e ottemperare agli obblighi nei confronti dei propri dipendenti. In serata però l’Agenzia per la cybersicurezza nazionale ha reso noto che l’attività svolta in seguito all’attacco ha consentito di “scongiurare la paventata, mancata erogazione degli stipendi di dicembre e delle tredicesime a favore dei dipendenti di alcune Amministrazioni locali indirettamente impattate”. Salve quindi le retribuzioni del mese e sospiro di sollievo per i dipendenti pubblici, che rischiavano – come era emerso in un primo tempo – di veder slittare il pagamento degli emolumenti al mese di gennaio.
Lockbit non è nuovo a questo genere di attacco. E tra i gruppi di criminali informatici più longevi del mondo della cybersicurezza. È attivo dal 2019 e il suo nome, che è quello del malware da loro creato, è già noto in Italia. Il suo virus è tra quelli che lo scorso agosto ha violato i sistemi informatici della Regione Lazio e poco dopo anche quelli di Thalesgroup e Accenture, solo per fare alcuni dei nomi più noti.
Altro attacco noto, quello contro l’Agenzia delle entrate del 2022, quando annunciarono di aver rubato all’ente circa 100 giga byte di dati. Probabilmente è un gruppo di hacker russi, o comunque dell’Europa dell’est. L’unico indizio è che ogni nuova versione pubblicata del software viene diffusa con un testo in cirillico.