Un attacco hacker ha tenuto bloccato il comune di Brescia per una settimana

Dal 30 marzo un attacco hacker a vari sistemi del comune di Brescia (Lombardia) ha reso inaccessibile per diversi giorni il sito del comune, ha impedito ai cittadini di usufruire dei servizi digitali dell’amministrazione, tra cui l’anagrafe, e ha messo in difficoltà il lavoro di molti uffici, che si sono trovati con le email non attive e i servizi informatici interni interrotti o funzionanti a rilento.

Per giorni, la homepage del comune è stata sostituita da una schermata in cui l’amministrazione comunicava ai cittadini di essere stata «vittima di un attacco informatico da parte di ignoti, che ha causato danni alla rete, non consentendo di garantire i normali servizi» e in cui annunciava che avrebbe fatto denuncia alle autorità competenti. Il comune, si leggeva, stava lavorando per poter «tornare a regime al rientro delle festività pasquali», e soltanto nel pomeriggio di martedì 6 aprile la homepage è tornata accessibile, anche se non è chiaro se tutti i servizi siano effettivamente tornati attivi a pieno regime.

L’attacco hacker che ha colpito Brescia è definito in gergo “ransomware”, cioè un attacco in cui gli hacker bloccano alcuni dati, di solito tramite metodi di crittografia che rendono inaccessibili i contenuti, e li tengono in ostaggio finché la vittima non ha pagato una certa somma di denaro come riscatto (ransom, appunto).

Inizialmente il comune aveva negato di essere stato oggetto di un ricatto, ma poi ha dovuto ammetterlo dopo la pubblicazione di un articolo del Corriere di Brescia in cui si rivelava che era stato richiesto un pagamento. Parlando con il giornale per un articolo successivo, il direttore generale del comune, Giandomenico Brambilla, ha detto che per ottenere la «chiave di sblocco» gli hacker hanno chiesto 26 bitcoin, che al cambio attuale valgono poco meno di 1,3 milioni di euro.

Il comune ha fatto sapere che non intendeva pagare e si è rivolto alla polizia postale.

Non è ancora chiaro come sia avvenuto l’attacco. Di solito gli hacker riescono a ottenere l’accesso dei sistemi informatici usando il “phishing”, quasi sempre email contraffatte con link o allegati che, una volta aperti, installano sul computer della vittima un malware che poi si estende in tutto il sistema e lo rende inaccessibile ai suoi utenti abituali. La richiesta di riscatto – come sembra nel caso di Brescia – spesso è contenuta all’interno di un file installato nel sistema dal malware.

Sembra sicuro invece che l’attacco abbia colpito molti sistemi dell’amministrazione e reso inaccessibili per un periodo numerosi servizi importanti.

– Leggi anche: La crisi dei microchip è sempre più grave

Sono stati colpiti l’anagrafe, il sistema per la gestione delle gare e degli appalti, quello che gestisce le pratiche edilizie, e quello che si occupa del sistema scolastico e cimiteriale oltre che le postazioni di lavoro di diversi uffici pubblici, tra cui quelli comunali, dove non sono state accessibili per esempio le email. Le prestazioni e i servizi digitali che dipendevano da tutti questi uffici (pagamenti, certificati, pratiche e così via) sono stati interrotti in alcuni casi, in altri hanno funzionato a rilento.

Sono state bloccate anche le comunicazioni della centrale operativa della polizia locale, tanto che, ha raccontato il Giornale di Brescia, gli agenti sono stati costretti per qualche giorno a usare le vecchie radio per comunicare tra loro.

Il comune ha fatto sapere che nessun dato sensibile dei cittadini sarebbe andato perduto o sarebbe stato esposto. Tuttavia, anche se il ripristino dei sistemi è in corso, per recuperare appieno le funzionalità e i servizi potrebbe volerci del tempo: quando si viene colpiti da un ransomware e non si vuole (giustamente) pagare, di solito o si riesce a decriptare i sistemi (ma è difficile che funzioni) oppure bisogna averci pensato prima.

Esistono infatti numerosi metodi per riprendersi dopo aver subìto un attacco hacker, come sistemi di backup (per recuperare i dati) e di continuità del business (perché spesso i ransomware non si limitano a bloccare i dati, ma rendono anche i computer infettati inutilizzabili). Ovviamente, questi sistemi di prevenzione devono essere attivi prima dell’attacco, e non è chiaro quanto il comune di Brescia fosse pronto, anche se il fatto che da martedì almeno parte dei sistemi sia stata ripristinata fa ben sperare.

Il comune di Brescia non è certamente un caso isolato. «Le strategie di individuazione e reazione sono di primaria importanza e sono estremamente sottovalutate, specie in Italia», dice Stefano Zanero, professore associato di Computer Security al Politecnico di Milano, che fa riferimento alle strategie necessarie ad accorgersi per tempo di essere sotto attacco (individuazione) e a quelle necessarie a rimuovere la minaccia e limitare il danno (reazione).

– Leggi anche: L’attacco hacker contro gli Stati Uniti è un disastro

Gli attacchi con ransomware sono in crescita, e questo vale sia per la pubblica amministrazione (negli stessi giorni in cui era attaccato il comune di Brescia, anche quello di Rho, in Lombardia, ha subìto un attacco simile, anche se apparentemente meno grave) sia per le aziende private. Alcuni di questi attacchi sono molto estesi e famosi, come nel caso di WannaCry, un virus che infettò migliaia di computer nel 2017, ma la maggior parte sono operazioni più piccole e meno note.