Se il Cloud va giù, va giù tutto! Attacco a WestPole: scopriamo le amministrazioni colpite

Chiara Nardini : 13 Dicembre 2023 11:02

Il Cloud e come l’elettricità… può essere accesa o può essere spenta, rapidamente, in base alle TUE esigenze. Ha un team di professionisti dedicati che si assicurano che il servizio fornito sia sicuro e disponibile, 24 ore su 24, 7 giorni su 7. Quando l’elettricità non la usi, non stai solo risparmiando, ma non stai pagando perché le risorse non ti servono.

Ma se la centrale elettrica si ferma e non ci sono le ridondanze del caso, rimani al freddo e al gelo.

Sono ad oggi passati 5 giorni dall’inizio dell’incidente informatico avvenuto alle 5:00 dell’8 Dicembre che ha colpito la WestPole, il service Provider del gruppo Cegeka Company. Poco dopo l’effetto domino ha iniziato a fare il suo decorso, coinvolgendo PA Digitale e tutti i servizi ad essa collegati. Servizi che vengono utilizzati normalmente da moltissime pubbliche amministrazioni.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Si tratta di un attacco ransomware. Anche se non sappiamo i dettagli e non conosciamo al momento la cyber-gang che ha colpito, si presume che le infrastrutture informatiche di WestPole siano rimaste bloccate a causa della cifratura del ransomware.

WestPole ha pubblicato una informativa sul suo sito web – che risultava inizialmente non raggiungibile – che riporta quanto segue:

L'8 Dicembre, abbiamo rilevato alcune attività sospette nel Data Center Westpole in Italia. Non appena siamo venuti a conoscenza di questo incidente, abbiamo immediatamente avviato i processi di emergenza previsti. A causa di questo incidente di sicurezza, molti dei sistemi IT dei nostri clienti, ed i nostri stessi, stanno subendo interruzioni.

Vogliamo assicurarvi che al momento non ci sono indicazioni nei sistemi informativi (dei clienti) di Westpole che i dati (dei clienti) siano stati esfiltrati o trapelati.

Abbiamo agito, insieme ai nostri partner, tempestivamente per contenere e ridurre al minimo qualsiasi potenziale impatto rafforzando la sicurezza dei sistemi, delle operations e dei dati di Westpole. Abbiamo implementato misure di mitigazione volte a risolvere rapidamente il problema.

Al momento, i nostri team hanno già contenuto la situazione e stanno ricostruendo gli ambienti 24 ore su 24. Nel frattempo, stiamo continuando a monitorare l'ambiente dal nostro SOC in stretta comunicazione con l'Incident Response Team.

Restate tranquilli, Westpole e i nostri partner manterranno un atteggiamento vigile, monitorando costantemente la situazione. Abbiamo inoltre tenuto informati sulla situazione tutti i nostri clienti interessati. Aggiorneremo ulteriormente questa informativa qualora ci fossero cambiamenti o sviluppi.

Grazie per la pazienza e la comprensione.

Team Westpole Italia

PA Digitale

PA Digitale aveva in precedenza comunicato ai clienti dell’incidente di sicurezza informatica intercorso. Ad oggi pubblica all’interno del suo sito web una informativa che riporta chiaramente il problema causato da WestPole, il cloud Service Provider utilizzato per l’erogazione dei suoi servizi.

PA Digitale S.p.A. informa
che i suoi sistemi, a causa di un significativo evento di sicurezza che ha interessato il proprio fornitore di servizi cloud Westpole S.p.A., non sono disponibili a partire dalla prima mattina dell’8 dicembre 2023.

Da preliminari comunicazioni ricevute, la società Westpole S.p.A. notificava di aver riscontrato la cifratura della propria intera infrastruttura informatica, che risultava così interamente compromessa.

PA Digitale S.p.A. esprime il proprio rammarico per questa spiacevole vicenda, indipendente dalla propria volontà e al di fuori del proprio controllo e sta attivamente operando per ottenere dal fornitore Westpole S.p.A. il ripristino di un’infrastruttura affidabile, assieme ad una dettagliata ricostruzione dell’evento e delle conseguenze.

L’obiettivo di PA Digitale S.p.A. è quello di assicurare il rapido ripristino a partire dai prossimi giorni delle funzioni essenziali e, progressivamente, il patrimonio informativo e di dati disponibile.

Al momento non risulta esfiltrazione di dati.

Westpole S.p.A. prima e conseguentemente PA Digitale S.p.A. poi hanno provveduto alla denuncia dell’accaduto alle Autorità competenti.

PA Digitale S.p.A., perciò, non appena otterrà le necessarie informazioni sull’incidente dal fornitore dei servizi cloud Westpole S.p.A., procederà a comunicazioni di dettaglio agli utenti.

Pieve Fissiraga, 11/12/2023

Le amministrazioni colpite dall’incidente informatico

Sono molte le amministrazioni che sono rimaste vittima indirettamente di questo incidente di sicurezza. Abbiamo visto il Comune di Rieti che tra i primi ha inviato una informativa all’interno del suo sito web.

PA Digitale S.p.A. ha informato che i suoi servizi, a causa di un significativo evento che ha interessato il proprio fornitore di infrastruttura cloud, non sono disponibili a partire dall’8

dicembre 2023 e non lo saranno ancora nella giornata di domani, lunedi 11 dicembre. Pertanto, anche l'albo pretorio online e tutti i servizi digitali del Comune di Rieti collegati al sistema non sono attualmente raggiungibili.

Il Comune di Rieti è in attesa di ricevere dal fornitore le tempistiche previste per il ripristino dei servizi erogati da PA Digitale ai propri clienti. 

PA Digitale Spa ha espresso il proprio rammarico per questa spiacevole vicenda, indipendente dalla propria volontà e al di fuori del proprio controllo. Al tempo stesso ha garantito il proprio impegno per il più celere rientro alle normali operazioni e la salvaguardia degli interessi dei propri clienti.

Di seguito alcuni enti che utilizzano servizi o soluzioni cloud di WestPole/PA Digitale riportati nella sezione Clienti di PA Digitale. Essendo il sito al momento non raggiungibile, siamo andati a prelevare le informazioni dalla Wayback machine.

• Quirinale (Segreteria del Presidente della Repubblica)
• ISTAT
• ANAC (Autorità Nazionale Anticorruzione)
• AGCOM (Autorità per le Garanzie nelle Comunicazioni)
• Consiglio Superiore della Magistratura
• Autorità di regolazione per Energia, Reti e Ambiente
• Ministero dell’Ambiente e della Tutela del Territorio e del Mare
• Fondo di Previdenza per il personale del Ministero dell’Economia e delle Finanze
• Lecco
• Imperia
• Cernusco Sul Naviglio
• Samarate
• Comunità Montana Valtellina di Tirano
• Unione dei Comuni Collinari del Vergante
• Castelleone
• Arese
• Amministrazioni Provinciali
• Brescia
• Lecco
• Lodi
• Consiglio Regionale del Veneto
• Ente Parco Nazionale Dolomiti Bellunesi
• EDiSU Pavia
• ERSAF Lombardia (Ente Regionale per i Servizi all’Agricoltura e alle Foreste)
• ARPA (Agenzia Regionale per la Protezione dell’Ambiente della Lombardia)
• La Spezia
• Orbetello
• Isola Del Giglio
• Fiumicino
• Falconara Marittima
• Foligno
• Massa Carrara
• Macerata
• Accademia della Crusca
• Soprintendenza Speciale per il Colosseo Museo Nazionale Romano Area Archeologica di Roma
• Cagliari
• Carbonia
• Villaricca
• Ischia
• Ascoli Piceno
• Consorzio Autostrade Siciliane
• Parco Nazionale dell’Arcipelago di La Maddalena
• ERSU Messina
• Ente Parco Nazionale dell’Aspromonte

Il Cloud Computing, pregi e difetti di un modello che sta spopolando

Il cloud computing ha rivoluzionato la gestione dei dati e delle risorse informatiche, offrendo una serie di vantaggi, ma non è esente da limiti e controindicazioni.

Vantaggi del Cloud Computing:

1. Scalabilità: Una delle principali attrattive del cloud è la sua capacità di scalare risorse in modo flessibile. Le aziende possono adattare le risorse alle esigenze, pagando solo per ciò che utilizzano.
2. Costi Ridotti: Eliminando la necessità di investire in infrastrutture fisiche, le aziende possono ridurre i costi iniziali e pagare solo per l’uso effettivo delle risorse.
3. Accessibilità Remota: Il cloud consente l’accesso ai dati e alle applicazioni da qualsiasi luogo con connessione a Internet, agevolando il lavoro remoto e la collaborazione.
4. Backup e Ripristino Semplificati: I servizi cloud offrono soluzioni di backup automatiche e ripristino dei dati, riducendo il rischio di perdita di informazioni critiche.
5. Aggiornamenti Automatici: Gli aggiornamenti software e di sicurezza sono spesso gestiti automaticamente dal fornitore del servizio cloud, garantendo che le applicazioni siano sempre aggiornate.

Limiti e Controindicazioni del Cloud Computing:

1. Sicurezza: La sicurezza è una preoccupazione chiave. Le aziende devono affidare i propri dati a fornitori di servizi cloud e questo può sollevare preoccupazioni sulla privacy e sulla sicurezza.
2. Dipendenza dalla Connessione Internet: L’accesso ai dati e alle applicazioni nel cloud richiede una connessione Internet stabile. Un’interruzione della connessione potrebbe interrompere l’accesso ai servizi cloud.
3. Personalizzazione Limitata: In alcuni casi, l’adattamento delle soluzioni cloud alle esigenze specifiche di un’azienda potrebbe essere limitato rispetto a un’infrastruttura on-premise.
4. Costi a Lungo Termine: Mentre il modello di pagamento basato sull’uso può essere vantaggioso a breve termine, a lungo termine i costi possono accumularsi. Alcune aziende potrebbero trovare più conveniente un’infrastruttura proprietaria nel tempo.
5. Conformità Normativa: In settori altamente regolamentati, rispettare le normative può essere più complesso con il cloud, e alcune aziende potrebbero preferire mantenere il controllo diretto dei propri dati.

In definitiva, il cloud computing offre molte opportunità, ma è fondamentale valutare attentamente le esigenze aziendali e le sfide specifiche prima di adottare soluzioni cloud. Un approccio ibrido, combinando cloud e risorse locali, potrebbe essere la scelta più adatta per molte organizzazioni.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Lista degli articoli