“500.000 dollari per non pubblicare i vostri dati”: cosa sappiamo sull’attacco hacker a Poste Italiane Postel S.p.A ha subito spiegato che il gruppo Medusa ha rubato solo dati interni, secondo gli esperti di privacy online però i dipendenti potrebbero essere a rischio.

A cura di Elisabetta Rosso

Martedì 15 agosto il sito della società Postel S.p.A si è bloccato e i servizi si sono interrotti per alcune ore. "Abbiamo prima riscontrato delle attività anomale nel sistema, che erano attribuibili a un attore esterno non autorizzato", ha spiegato Poste Italiane. L'attore esterno è il gruppo hacker Medusa Locker, già noto per aver violato diverse infrastrutture di alto profilo negli Stati Uniti. "Hanno interrotto l'operatività di alcuni server e anche alcune postazioni distribuite sul territorio nazionale hanno smesso di funzionare", poi sul blog di Medusa è comparso un post, rivendicavano l'attacco chiedendo 500.000 dollari per non pubblicare le informazioni rubate.

Postel ha subito spiegato che gli hacker sono riusciti a rubare solo dati interni, i clienti quindi non dovrebbero correre rischi. "Non appena abbiamo riscontrato attività anomale abbiamo subito attivato tutti le attività di verifica per individuare i potenziali impatti sui sistemi e intraprendere le opportune e conseguenti azioni di mitigazione e di ripristino dell’operatività", ha spiegato Poste Italiane. Medusa però ha pubblicato alcuni screenshot e file come prova dell'attacco riuscito, tra questi email e documenti di identità. Christian Barnieri, esperto di privacy online, dopo averli analizzati, ha spiegato che l'attacco dovrebbe aver colpito solo i dipendenti di Postel e non i clienti. Ha scritto su Twitter: "Penso che tutti i lavoratori Postel debbano iniziare a preoccuparsi perché i loro dati personali (inclusi quelli sensibili) saranno presto online e liberamente scaricabili da chiunque. Ci sarà peraltro qualche genio che diffonderà il link e le istruzioni su come farlo."

Il ricatto del gruppo Medusa

"In data 15 agosto 2023, il gruppo criminale Medusa ha rivendicato tali attività, pubblicando, sul proprio blog, la notizia di un attacco ransomware effettuato sui sistemi di Postel S.p.A.

Attualmente risultano essere stati interessati solo dati interni all’azienda", spiega Poste Italiane. Il post pubblicato dal gruppo Medusa subito dopo l’attacco, riporta un countdown di 8 giorni, la data in cui inizierà a pubblicare i dati sul suo sito se il riscatto non verrà pagato. Il prezzo è fissato a 500.000 dollari. Chiedono invece 10.000 dollari per posticipare la pubblicazione dei dati di un giorno.

Come spiega Pose Italiane però l'attacco ha colpito solo alcuni dati interni all’azienda, che sta già lavorando al ripristino dei servizi. Hanno anche verificato la completa disponibilità degli archivi di backup dei sistemi, che permetteranno un' azione di recupero completa.

Problemi in via di risoluzione

Il problema sembra non aver generato particolari danni, Poste Italiane ha reagito tempestivamente all'attacco hacker: "Si precisa che allo stato attuale si è proceduto al ripristino parziale di alcuni sistemi, in particolare dei sistemi business critical. L’estromissione dai sistemi di Postel dell’attore malevolo è avvenuta prontamente in prossimità del rilevamento delle attività anomale stesse. Nel caso ci fossero ulteriori aggiornamenti, sarà nostra cura tenere informati tutti gli stakeholder in ordine alle informazioni necessarie a tutelare i loro interessi", aggiungono.

Perché proprio Postel

Postel è l’azienda del Gruppo Poste Italiane che opera nel settore dei servizi di gestione documentale e comunicazioni di marketing data-driven destinati a Imprese e Pubblica Amministrazione. Come spiega sul suo sito di riferimento: "Gestiamo più di un miliardo di documenti cartacei e due miliardi di documenti elettronici all'anno. A oggi, quattro mila imprese attive nei settori delle utility, della finanza, delle telecomunicazioni, delle assicurazioni, del largo consumo e della PA centrale e locale hanno scelto Postel come fornitore cui affidarsi per comunicare." È probabile quindi che il gruppo Medusa abbia scelto di attaccarli per mettere pressione su un ente che gestisce informazioni sensibili, la miglior merce di scambio per un ricatto a seguito di un attacco informatico.