PA digitale KO, gli hacker russi e il riscatto a WestPole [aggiornamento]
Ripresa graduale dei servizi dopo 10 giorni dall'attacco ransomware di Lockbit, che ha colpito Westpole e paralizzato PA e aziende private. C'è la richiesta di riscatto da parte del gruppo di hacker russi. Cosa è successo dai primi giorni dell'attacco.
Caos nazionale per oltre 10 giorni con il fuori servizio della fatturazione elettronica PA digitale. L’attacco ransomware rivendicato da hacker russi contro WestPole, l’azienda che gestisce i servizi della PA Digitale, ha rappresentato un evento critico di cybersicurezza con un impatto significativo, colpendo oltre 1.300 enti della pubblica amministrazione e bloccando attività amministrative essenziali, inclusi i servizi di fatturazione elettronica. Dal 18 dicembre, ci sono stati sforzi per riattivare i servizi e recuperare i dati criptati interessando più di 700 amministrazioni pubbliche nazionali e locali, ma la visibilità immediata dei dati è ancora limitata. Questa situazione sottolinea l’importanza della sicurezza informatica e della resilienza nei sistemi critici della pubblica amministrazione.
“La procedura di riavvio – comunica Dylog ai propri clienti – prevede l’utilizzo dei servizi di fatturazione elettronica in una modalità a step che non prevede inizialmente la visualizzazione dei documenti relativi al periodo pregresso. L’importazione dei documenti è già in corso ma richiederà tempi più lunghi. Le funzioni di invio e ricezione delle fatture elettroniche sono attive sin dal primo accesso. Tutta la documentazione conservata a norma di legge sarà ripristinata. La fatturazione attiva inviata con canali alternativi nei giorni successivi all’8 dicembre non sarà visibile in un primo momento”.
Ci sono state complicazioni per le aziende nel registrare le fatture e nell’inviare gli adempimenti IVA entro i termini previsti dalla legge. Tuttavia, l’Agenzia delle Entrate ha concesso una proroga, la quale preverrà l’applicazione di sanzioni o interessi.
Alcuni servizi sono ancora parzialmente bloccati, tra cui i sistemi di gestione delle buste paga della pubblica amministrazione e di fatturazione elettronica di Pa Digitale. È stata iniziata la procedura di ripristino dai backup, e più del 50% dei dati è in fase di ricostruzione. Al momento non è chiaro se alcuni dati potrebbero risultare irrecuperabili, ma dettagli più precisi saranno disponibili nei prossimi giorni. Un’immediata conseguenza di ciò è il potenziale ritardo nel pagamento degli stipendi e delle tredicesime dei dipendenti comunali, che potrebbe slittare da dicembre a gennaio.
Al 19/12/2023, alle ore 08:00, il servizio di fatturazione digitale collegato a PA Digitale non è ancora pienamente operativo. La ricostruzione dei dati è in corso, e potrebbe essere necessario riprocessare manualmente alcune registrazioni elettroniche non salvate dai diretti interessati.
L’attacco informatico rivendicato da hacker russi
L’attacco informatico è stato rivendicato dal gruppo di hacker russi LockBit, noto per il suo coinvolgimento in attacchi ransomware a livello globale. Questo gruppo opera criptando i file delle sue vittime e richiedendo un riscatto per il loro sblocco. I suddetti hacker hanno criptato diversi server di WestPole situati nelle webfarm di Roma e Milano, richiedendo successivamente a WestPole un riscatto in criptovalute.
Cosa era successo?
La pubblica amministrazione ed un numero considerevole di aziende si sono trovate in difficoltà a partire dai giorni 5/8 dicembre. Concessionari auto che non possono consegnare le vetture in quanto non riescono ad emettere le fatture di vendita. Da un comunicato di Dylog: “Dalle prime ore mattutine dell’8 dicembre 2023, venivano riscontrati malfunzionamenti bloccanti dell’infrastruttura cloud fornita dal Fornitore Westpole S.p.A., su entrambi i nodi di Roma e Milano, su cui sono installati gli applicativi che consentono l’erogazione dei servizi connessi al processo di fatturazione elettronica di Gruppo Dylog e Gruppo Buffetti“.
Fatturazione elettronica malfunzionamenti
Le prime segnalazioni dal giorno 8 dicembre sono state fatte dallo Studio Fazio Masala di Roma e dal Comune di Rieti, che hanno evidenziato le prime interruzioni di alcuni servizi dovute al blocco della PA Digitale, a cui hanno fatto seguito anche numerose comunicazioni arrivate alla redazione di Newsauto da aziende del settore automotive, concessionarie auto, meccanici, officine che non riescono ad utilizzare il servizio della fatturazione elettronica, così come concessionari che hanno venduto le auto e non riescono ad emettere fattura ai loro clienti.
PA digitale fuori uso, fatturazione elettronica non funziona
La fatturazione elettronica non ha funzionato per circa 10/12 giorni almeno. In pratica, per moltissime aziende non è stato possibile usufruire dal giorno 5/8 dicembre del servizio di fatturazione elettronica obbligatorio che prevede l’invio della fattura entro 10 giorni dalla prestazione dei servizi e dall’incasso. Non è possibile neanche effettuare la consultazione e ricevere le fatture dallo SDI.
Aziende ed istituzioni senza possibilità di utilizzare i servizi di fatturazione elettronica
La PA Digitale, tre le aziende colpite, è la società privata appartenente al gruppo Buffetti, specializzata nello sviluppo di infrastrutture cloud e che fornisce servizi a numerose entità della pubblica amministrazione. Questa azienda offre soluzioni cruciali come la gestione delle buste paga, la fatturazione elettronica e altre prestazioni anche all’amministrazione pubblica e Comuni. Altro sistema colpito è Urbi, un software cloud utilizzato per la gestione di servizi digitali che elaborano dati demografici, anagrafici, buste paga dei dipendenti comunali da oltre cinquecento Comuni, alcune Province, Unioni di Comuni, Comunità montane e importanti enti.
Utilizzano la PA Digitale anche l’Agenzia Delle Entrate, Sogin (la società responsabile dello smaltimento degli impianti nucleari italiani), la Pubblica Amministrazione (compresi i Comuni), il Quirinale, l’Istat, l’Autorità nazionale anticorruzione, l’Autorità per le garanzie nelle comunicazioni, il Consiglio superiore della magistratura, l’Autorità di regolamentazione per energia, reti e ambiente, il Ministero dell’Ambiente, il Fondo di previdenza per il personale del Ministero dell’Economia, la Banca d’Italia, il Comando Generale dei Carabinieri, il Consiglio regionale del Veneto, l’Ente parco nazionale Dolomiti bellunesi, l’Ente regionale per il diritto allo studio universitario di Pavia, l’Ente regionale per i servizi dell’agricoltura della Lombardia e l’Agenzia regionale per la protezione dell’ambiente della Lombardia, l’Accademia della Crusca, la Soprintendenza speciale per il Colosseo, il Consorzio autostrade siciliane, il Parco nazionale dell’arcipelago della Maddalena, l’Ente regionale per il diritto allo studio di Messina e l’Ente parco nazionale dell’Aspromonte, Servizi di anagrafe Urbi, Comuni di Lecco, Imperia, Cernusco sul naviglio, Samarate, Comunità montana Valtellina di Tirano, unione dei comuni collinari del Vergante, Castellone, Arese, La Spezia, Ortobello, Isola del Giglio, Fiumicino, Falconara Marittima, Foligno, Cagliari, Carbonia, Villaricca, Ischia e Ascoli Piceno. Così come le amministrazioni provinciali di Brescia, Lecco, Lodi, Massa Carrara e Macerata. E moltissimi altri istituti ed aziende.
Attacco informatico alla PA Digitale, ransomware
L’attacco informatico a Westpole, società che fornisce servizi a PA Digitale, ha costretto quest’ultima a interrompere i propri servizi dall’5/8 dicembre. L’azienda colpita aveva dichiarato che l’intera infrastruttura informatica era stata compromessa, probabilmente a causa di un attacco ransomware con la cifratura.
Il ransomware è un tipo di malware che blocca l’accesso ai dati o al dispositivo della vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto. Il ransomware crittografa i dati del dispositivo rendendoli illeggibili senza una chiave di decrittografia. Gli hacker per rendere nuovamente disponibili i dati richiedono solitamente alla vittima di pagare un riscatto in cambio della chiave. Il pagamento del riscatto non è però sempre garantito per recuperare i dati. Si sono verificati casi in cui i cybercriminali sono scomparsi con i soldi senza fornire la chiave di decrittografia.
I dettagli dell’hackeraggio
Riportiamo un comunicato diffuso da Dylog che riassume i fatti dell’evento di hackeraggio.
L’EVENTO
A partire dalle prime ore mattutine dell’8 dicembre 2023, venivano riscontrati malfunzionamenti bloccanti dell’infrastruttura cloud fornita dal Fornitore Westpole S.p.A., su entrambi i nodi di Roma e Milano, su cui sono installati gli applicativi che consentono l’erogazione dei servizi connessi al processo di fatturazione elettronica di Gruppo Dylog e Gruppo Buffetti.
L’indicazione ricevuta dal fornitore è che un’azione ransomware, condotta da un attore ostile, avrebbe cifrato le basi dati. Il Fornitore Westpole S.p.A. rappresentava, da ultimo in tarda serata dell’11 dicembre 2023, di aver subito un attacco informatico che aveva, in sintesi, colpito tutte le macchine virtuali ospitate nei centri di Roma e Milano (circa 1.500) impedendone la funzionalità.
Westpole S.p.A., quindi, specificava: i firewall non hanno evidenziato, né durante il periodo di esecuzione dell’attacco, né durante i giorni precedenti, alcun traffico riconducibile alla esfiltrazione di dati.
Per tutti i servizi che prevedevano l’utilizzo di una componente repository di tipo NAS, i dati non risultano essere compromessi, e, allo stato attuale delle analisi, non risultano accessi dell’utenza compromessa o di altre utenze sospette o non coerenti con il normale utilizzo di business delle applicazioni nei giorni precedenti all’attacco.
Sulla base delle evidenze riportate e disponibili allo stato attuale, da confermare e arricchire attraverso analisi forensi più approfondite, riteniamo poco probabile l’esfiltrazione dei dati da parte dell’attaccante, evidentemente interessato al blocco dell’infrastruttura, non al contenuto dei dati, di tipo indifferenziato, presenti sui nostri repository e all’interno delle circa 1.500 macchine virtuali in essa presenti.
LA GESTIONE DELL’INCIDENTE
L’incidente ha avuto un impatto significativo su numerosi clienti del Gruppo Dylog, in termini principalmente di indisponibilità delle piattaforme di fatturazione elettronica e di servizi erogati a pubbliche amministrazioni centrali e locali.
Data la dimensione degli impatti, è necessario procedere a comunicazioni pubbliche, essendo impossibile raggiungere tutti i possibili interessati dell’evento, fermo restando che sono attive linee di comunicazione esterne, che consentono di rispondere a specifici quesiti individuali degli interessati che possano non trovare soddisfazione nei comunicati L’attività di gestione dell’incidente si svolge su diversi piani, per garantire, da un lato, il rientro della piena funzionalità dei sistemi; dall’altra per adottare tutte le azioni indispensabili per ridurre i rischi sull’ambiente operativo di esercizio ed evitare il ripetersi dell’evento.
- Ripristino dell’infrastruttura Cloud
Westpole S.p.A. ha comunicato che la messa fuori linea dei propri sistemi, adottata come prima azione di contenimento, ha risposto ad una esigenza precauzionale. La società Westpole S.p.A., quindi, ha assicurato la reinstallazione da zero dell’infrastruttura virtuale e dei sistemi operativi e questo significa che i sistemi di fatturazione elettronica e gli altri applicativi del Gruppo Dylog/Buffetti possono essere installati in un ambiente che è certamente immune da potenziali compromissioni;
- Definizione di un modello di rilevamento e monitoraggio di sicurezza delle informazioni
Westpole S.p.A., già tenuta all’adozione delle necessarie misure di sicurezza ex art. 32 GDPR, ha comunicato di aver rafforzato il proprio presidio di controllo, avvalendosi anche del supporto di un Security Operation Center della società controllante CEGEKA Group e di tecnologie avanzate per la rilevazione dei vettori di attacco
- Azioni delle società del Gruppo Dylog/Buffetti
Il ripristino della ricostruzione degli applicativi e delle basi dati, anche con il supporto dell’Agenzia delle Entrate e dei partner implementativi è iniziato sin dall’8 dicembre e sta proseguendo, non solo con l’ottica di ripristinare le funzionalità su ambienti Westpole S.p.A., ma anche definendo politiche di selezione alternativa di fornitori, per modo da garantire i più alti livelli di affidabilità e continuità operativa. In questo senso:
- Sono state individuate ulteriori misure di sicurezza richieste a Westpole S.p.A. per assicurare la disponibilità, l’integrità e la riservatezza delle informazioni;
- È stato richiesto al Fornitore un dettaglio di tutte le misure di sicurezza poste in essere;
- È stata accelerata la migrazione dei servizi critici su piattaforma Microsoft Azure.
- Sono state condotte specifiche analisi sui sistemi del Gruppo, che hanno escluso la propagazione di azioni malevole nei riguardi dei sistemi server e client di pertinenza delle società ascrivibili a questa vicenda.
ANALISI DELLA DISPONIBILITA’ DEI DATI
Il quesito fondamentale è se siano stati irreversibilmente cifrati dati personali degli interessati. Su questo tema, ad oggi, non è possibile fornire una risposta unitaria, poiché i dati contenuti su storage tipo NAS risultano intatti e immediatamente disponibili, mentre per altri sono in corso analisi.
Gruppo Dylog ha richiesto a Westpole S.p.A. di poter ottenere i files delle macchine virtuali che ospitavano i sistemi di interesse per poter condurre autonome analisi e fornire successivamente una risposta chiara ed esaustiva.
INTERVENTO DELLE AUTORITA’ sull’hackeraggio
Westpole S.p.A., in quanto vittima diretta dell’incidente, ha presentato denuncia all’Autorità Giudiziaria per il tramite della Polizia di Stato, Servizio Polizia Postale e delle Comunicazioni. Westpole S.p.A. ha inviato anche notifica preliminare di violazione della disponibilità dei dati all’Autorità Garante per la protezione dei dati personali.
Dylog Italia S.p.A., Gruppo Buffetti S.p.A. e PA Digitale S.p.A. hanno, ciascuna per il proprio ruolo ed ambito, presentato notifica preliminare di violazione della disponibilità dei dati all’Autorità Garante per la protezione dei dati personali.
Cos’è la PA Digitale
PA Digitale spa è una società del Gruppo Buffetti che a sua volta ha come clienti tantissimi enti pubblici. La PA digitale è l’insieme delle attività, dei processi e servizi che consentono alle pubbliche amministrazioni di utilizzare le tecnologie digitali per migliorare la propria efficienza, efficacia e trasparenza. La PA digitale è promossa dal Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri, che ha elaborato il Piano triennale per l’informatica nella pubblica amministrazione (Piano Triennale 2022-2024).
A seguire le comunicazioni inviate da Buffetti e Daylog ai loro clienti il 10 dicembre
La comunicazione inviata ai clienti dall’azienda Buffetti che utilizza il servizi di PA digitale
Gentile Cliente,
le confermiamo che stiamo lavorando per ripristinare l’operatività.
Nelle prossime ore è prevista la progressiva riattivazione dell’invio e ricezione delle fatture in modo automatico, tuttavia, non essendo ancora in grado di garantire un orario preciso, le ricordiamo che, qualora si trovasse nella condizione di urgenza nel trasmettere le fatture, può utilizzare provvisoriamente il portale “Fatture e Corrispettivi” di Agenzia delle Entrate.
Ci teniamo in ogni caso ad informarla che, in relazione all’eccezionalità di quanto accaduto, abbiamo tempestivamente inviato comunicazione ufficiale all’Agenzia delle Entrate per richiedere la deroga alle correnti scadenze legate alla trasmissione delle fatture. Le forniremo ulteriori dettagli a breve.
Ringraziando per la comprensione, ci scusiamo per il disagio arrecato.
Assistenza Software Buffetti
La comunicazione inviata ai clienti dall’azienda Dylog che utilizza il servizi di PA digitale
Gentile Cliente,
a causa di un disservizio del provider di servizi cloud Westpole, i servizi di trasmissione telematica delle fatture elettroniche sono temporaneamente sospesi. La normale operatività del software gestionale è garantita.
Quindi, per cause NON legate ai nostri applicativi, al momento non siamo in grado di stimare i tempi precisi per la risoluzione, stiamo tuttavia lavorando senza limiti di orario e risorse con il fornitore per ripristinare l’operatività nel più breve tempo possibile.
Sarà nostra cura farle avere ulteriori notizie ed indicazioni operative entro la giornata di domani lunedì 11/12.
Ringraziando per la comprensione,
ci scusiamo per il disagio arrecato.