L’attacco ransomware al Comune di Palermo

Il Comune di Palermo è stato attaccato da un ransomware ma la cosa che ha incuriosita di più dell’attacco consiste nel fatto che nessun collettivo hacker ha inizialmente rivendicato l’offensiva, cerchiamo di capirne di più.

Cosa è successo

L’attacco al Comune è avvenuto il 2 giugno 2022 e ha provocato il blocco di numerosi servizi, compresi quelli legati alle ZTL: sull’accaduto c’è un articolo molto buono di Punto Informatico che delinea chiaramente la situazione da cui si apprendono alcune cose importanti:

Gli ignoti cybercriminali hanno messo fuori uso la rete informatica del Palazzo delle Aquile, il sistema di videosorveglianza della ZTL e la centrale operativa della Polizia municipale

Fonte: Punto Informatico

Quali sono gli effetti

Al momento il portale del Comune non è agibile, è opportuno tenere presente che la città di Palermo (nel 2017) conta 1.26 milioni di cittadini circa e l’interruzione delle risorse informatiche ha un impatto considerevole. Associati al dominio del Comune di Palermo ci sono circa 82 servizi tra cui:

1. ponmetro.comune.palermo.it
2. portalescuola.comune.palermo.it
3. sitr.comune.palermo.it
4. risultatielettorali2012.comune.palermo.it
5. protezionecivile.comune.palermo.it
6. servizidemografici.comune.palermo.it
7. connect.comune.palermo.it
8. mobilitasostenibile.comune.palermo.it
9. delibere.comune.palermo.it
10. www.comune.palermo.it
11. sce.comune.palermo.it
12. messi.comune.palermo.it
13. fadpa.comune.palermo.it
14. dns2.comune.palermo.it
15. collaudo.comune.palermo.it
16. mappaletteraria.comune.palermo.it
17. ies.comune.palermo.it
18. anagbiblio.comune.palermo.it
19. cedoliq.comune.palermo.it
20. appalermo.comune.palermo.it
21. expe.comune.palermo.it
22. intransito.comune.palermo.it
23. genio.comune.palermo.it
24. lost.comune.palermo.it
25. legalbook.comune.palermo.it
26. gesepa.comune.palermo.it
27. micollab.comune.palermo.it
28. risultatielettorali2013.comune.palermo.it
29. capitalesport2016.comune.palermo.it
30. portalescuolasvil.comune.palermo.it
31. turismo.comune.palermo.it
32. garanteinfanzia.comune.palermo.it
33. anagrafeimmo.comune.palermo.it
34. mbg.comune.palermo.it
35. portsport.comune.palermo.it
36. europee2014.comune.palermo.it
37. mail.comune.palermo.it
38. dns.paas.comune.palermo.it
39. gescim.comune.palermo.it
40. geosrv.comune.palermo.it
41. mapsrv.comune.palermo.it
42. raccoltadifferenziata.comune.palermo.it
43. openagenda.comune.palermo.it
44. opendata.comune.palermo.it
45. idsportale.comune.palermo.it
46. supera.comune.palermo.it
47. sbn.comune.palermo.it
48. news.comune.palermo.it
49. pme.comune.palermo.it
50. wiki.comune.palermo.it
51. canile.comune.palermo.it
52. comunali2017.comune.palermo.it
53. sso.comune.palermo.it
54. stats.comune.palermo.it
55. cug.comune.palermo.it
56. protocollo.comune.palermo.it
57. librarsi.comune.palermo.it
58. sport.comune.palermo.it
59. cqd.comune.palermo.it
60. securesmtp.comune.palermo.it
61. scm.comune.palermo.it
62. operatoriscuola.comune.palermo.it
63. albopretorio.comune.palermo.it
64. elezioni.comune.palermo.it
65. wasotto.comune.palermo.it
66. partecipa.comune.palermo.it
67. gesdoc.comune.palermo.it
68. statoriscossione.comune.palermo.it
69. pm.comune.palermo.it
70. patrimonio.comune.palermo.it
71. superedi.comune.palermo.it
72. attivitasociali.comune.palermo.it
73. servizionlinecig.comune.palermo.it
74. servizionline.comune.palermo.it
75. ztl.comune.palermo.it
76. dns2.comune.palermo.it
77. dns3.interbusiness.it
78. 10 aspmx3.googlemail.com
79. 10 aspmx2.googlemail.com
80. 1 aspmx.l.google.com
81. 5 alt2.aspmx.l.google.com
82. 5 alt1.aspmx.l.google.com

Alcuni sono stati evidenziati per la loro rilevanza ma, fondamentalmente, un servizio pubblico ha sempre un’importanza per i cittadini che lo utilizzano e ciò li rende tutti più o meno rilevanti. Maggiori informazioni sull’elenco sono reperibili direttamente online, ma si riporta un file PDF aggiornato all’8 giugno 2022.

La rivendicazione di Vice Society

All’inizio l’attacco non è stato rivendicato (dal 2 giugno al giorno 8). Questo ha provocato molte reazioni anche tra i giornali. In un articolo di Repubblica, ipotizza che ci possa essere una connessione con il collettivo Killnet, ma la tesi non risponde al modus operandi del collettivo russo, né tantomeno l’offensiva è stata dichiarata sui canali pubblici.

“Non si tratterebbe di un virus, ma di un ingresso esterno – continua Petralia – Stiamo verificando se ci sia stata acquisizione di dati ma al momento sembra escluso. Sapremo tutto, comunque, quando avvieremo di nuovo il sistema” […] Già nei giorni scorsi il ministero dell’Interno aveva lanciato l’allarme su possibili attacchi hacker a siti e portali istituzionali italiani. A rivendicare l’offensiva informatica è stato il collettivo russo Killnet, che – secondo quanto scrive su Telegram – avrebbe preso di mira una cinquantina di siti fra cui quelli del Csm, della Farnesina e dei ministeri di Istruzione e Beni Culturali.

Fonte: Repubblica

Alla fine la rivendicazione è stata fatta dal collettivo Vice Society sul loro portale web, pubblicando il classico annuncio a cui siamo abituati.

Vice Society è quel collettivo che, in Italia, ha rivendicato i recenti attacchi all’Associazione Bancaria italiana (29/04/2022), all’Arpa Marche (24/03/2022) e che adesso potrà “fregiarsi” di un bersaglio importante come il Comune di Palermo.

Cosa si sta facendo

Sempre dall’articolo di Repubblica si apprende che la SISPI (Sistema Palermo Innovazione SpA) sta operando per il ripristino dei sistemi, a questo proposito è stato dichiarato che:

Stiamo ricostruendo la parte infrastrutturale della rete, quella che è stata attaccata, in modo da poter tornare attivi il prima possibile – fanno sapere da Sispi – Poi verranno eseguiti ulteriori controlli per scongiurare la perdita di dati

Fonte: Repubblica

Anche nel caso di Palermo, come per molti altri casi della P.A., sarebbe interessante capire se il Comune avesse la conformità piena alla circolare 2/2017 che, senza dubbio non scongiura il verificarsi di un attacco ransomware, ma tutela contro la perdita di dati e mitiga le conseguenze dello stesso.

9 giugno 2022 – Comunicato della Sispi

La Sispi, nella figura dell’Ing. Salvatore Morreale, ha delineato quanto accaduto all’interno di una relazione che denota anche i passi che il Comune di Palermo sta intraprendendo.

La relazione, a parer di chi scrive, completa e ben fatta, denota un punto di riflessione che merita attenzione e si trova all’inizio della 3 pagina:

…verificata la non percorribilità di un processo di ripartenza su cloud per via dei tempi richiesti dai gestori (Aruba, TIM…) per l’attivazione degli spazi necessari…

Questa frase è interessante perché denota come, nel caso del Comune di Palermo, il ripristino sul cloud non sia la situazione più performante in termini di tempo (caratteristica che normalmente lo fa preferire ad altri ambienti). Sarebbe interessante sapere di più al riguardo ma intanto c’è da considerare l’ottimo lavoro nel redigere una relazione degna di questo nome.

Cosa è stato esfiltrato

Documenti di identità, documenti della polizia locale, archivi di posta elettronica, rubriche di contatto, ma anche segnalazione di scomparsa, sono solo alcuni dei documenti che sono stati esfiltrati e che fanno parte della normale vita burocratica di un comune (soprattutto di un comune come Palermo). L’esfiltrazione operata da Vice Society non si discosta da quella operata da altri collettivi hacker. Ci sono anche informazioni legate ad esami clinici (anche se risalenti al 2014), inserite in una cartella del SISPI.

Insomma, la sensazione è di una grande eterogeneità di dati non sempre protetti con livelli di sicurezza adeguati.