Análisis en profundidad

Cómo fue el ataque ransomware a la red ferroviaria Trenitalia

La red ferroviaria Trenitalia sufrió un ciberataque a través de un ransomware y el resultado fue que las taquillas físicas y las máquinas de autoservicio de algunas estaciones dejaron de funcionar. Aún se sabe si la guerra de Ucrania tuvo algo que ver.

05 Ago 2022

Redacción Innovación Digital 360

Trenitalia

El pasado 23 de marzo de este año, todos los puntos de venta de Trenitalia quedaron  fuera de servicio por un ataque informático sufrido por la primera operadora ferroviaria del país. Según trascendió en ese entonces, fue perpetrado por un ransomware, similar a los que han hecho famosos a los hackers rusos. Las fuentes dijeron que este tipo de virus sólo se desbloquean mediante el pago de una cantidad económica. Sin embargo, las autoridades italianas dijeron que el ataque, “aunque muy serio, gracias a los sistemas de protección internos y a las indicaciones de la Agencia Nacional de Ciberseguridad, no causó daños mayores”.

El ransomware de Trenitalia: las taquillas fuera de servicio 

Ese mismo día, al momento del ataque, la empresa lanzaba una nota diciendo que las disfunciones registradas no repercutía en la circulación de los trenes, que prosiguió con regularidad.

Impacto limitado

Se dijo que el impactó fue limitado porque era posible comprar los boletos en línea. No obstante, según explicaron a Ciberseguridad360, se generaron algunos retrasos en algunos trenes de mercancías. En la mañana del 23 de marzo, la empresa había pedido a los empleados que desconectaran sus ordenadores de la red, precisamente para contener la “infección”. 

Trenitalia: no hay ransomware 

“Los daños son muy limitados”, había dicho en ese entonces un representante de la empresa a Cybersecurity360. “Hemos desactivado las taquillas y aislado la red comercial para evitar que el ransomware se propague. Antes de reactivarlos, tenemos que asegurarnos de que no hay ningún rastro en los sistemas”, añadieron.

Una operación común en estos casos. 

“Lo que sabemos con seguridad por el momento es que el malware utilizado es un ransomware y que fue la banda HIVE la que desencadenó el ataque”, comentó Pierguido Iezzi, director general de Swascan. 

Rescate de 5-10 millones de dólares a Trenitalia/Ferrovie 

El día 23, sin embargo, surgió en los chats de HIVE una petición de rescate de 5 millones de dólares, que luego aumentó a 10 millones, como castigo porque “algún sinvergüenza hizo público el enlace al chat de negociación, y aquí se unió alguien más y empezó a hacer bromas con los delincuentes”, explica Riccardo Meggiato. un conocido experto en la materia y también editor de nuestra sección La Perspectiva. 

Hive le dio a la empresa tres días para que pague. Aunque no hubo ninguna declaración oficial ni garantía de que este rescate haya sido efectivamente exigido.

Nota de Trenitalia del 23 de marzo

“Desde esta mañana se han detectado elementos en la red informática de la empresa que podrían dar lugar a fenómenos relacionados con una infección de cryptolocker”, decía una nota de los Ferrocarriles. “Las actividades de verificación en la red están en curso. Como medida de precaución, se han desactivado algunos usuarios de los sistemas de venta física de Trenitalia. Por lo tanto, no es posible temporalmente comprar billetes en las taquillas y en el autoservicio de las estaciones, mientras que la venta en línea está funcionando. También es posible que la reserva de servicios en las salas Rfi Blue no se realice con la regularidad habitual”.

Ataque a los ferrocarriles, ¿Implicación de Ucrania? 

Por el momento no hubo más detalles sobre el ataque o las reclamaciones. Es fácil pensar en una conexión con la guerra en Ucrania y, por tanto, en un intento de ataque ruso. Las autoridades de Italia y de otros países ya han advertido de un mayor riesgo de ciberataques en represalia por la ayuda italiana y europea a Ucrania. 

Sin embargo, los ataques de este tipo, el ransomware, se producen de forma continuada desde hace años y actualmente no hay indicios para sospechar que la mano de Putin esté actuando en este caso. Un ciberataque selectivo patrocinado por el Estado también causa históricamente un daño más amplio, sobre todo si se dirige a infraestructuras críticas como los ferrocarriles. 

El 24 de marzo, el director de la Agencia Cibernética, Roberto Baldoni, intervino claramente diciendo que es mucho más probable que haya una intención criminal, “difícilmente se puede decir que haya una guerra”. 

Ferrovie dello Stato: “No hay información sobre el origen y la nacionalidad del ataque a Trenitalia”. 

En este sentido, Ferrovie dello Stato anunció en la tarde del día 23 que estaba trabajando “en estrecha colaboración con la Agencia Nacional de Ciberseguridad y la Policía del Estado”, en particular con el Centro Nacional de Delitos Informáticos para la Protección de las Infraestructuras Críticas (Cnaipic) de la Policía Postal;”comprometido a realizar todas las comprobaciones y verificaciones oportunas sobre lo ocurrido hoy”. La empresa especifica: “En la actualidad no hay elementos que permitan rastrear el origen y la nacionalidad del ciberataque”. 

Quién es Hive 

Hive es una banda de ransomware que hasta ahora ha atacado a grandes empresas como Mediamarkt, Mediaworld y también a un asl del Véneto por dinero. 

Trenitalia: ¿Daños en las taquillas, posible robo de datos personales de los viajeros? 

El tráfico ferroviario continuó con normalidad y los sistemas de venta en las estaciones (taquillas y autoservicio) fueron inhibidos sólo por razones de seguridad, mientras que los demás sistemas en línea siguieron operativos. Los viajeros sin billete fueron regularizados a bordo del tren sin recargo. 

En resumen, esta nota parece descartar una hipótesis que circula actualmente de un ataque a los sistemas de venta de billetes con una posible violación de datos, que pondría en peligro los datos personales de los viajeros. La empresa confirmó a Ciberseguridad360 que no hubo ninguna filtración de datos. De todas maneras, siguieron en alerta máxima para detectar casos de violación de datos y de acceso a la reventa a terceros.

¿Podría ser un problema de la cadena de suministro? 

El 17 de marzo, apenas días antes del episodio, se observaron ciertas interrupciones en la red ferroviaria italiana debido a un problema técnico de Alstom Bombardier, contratista del grupo Ferrovie dello Stato, con relaciones mucho más estrechas con Italia, desde la fusión a finales de enero de 2021. 

Esta es la nota que Alstom sacó ese 17 de marzo de 2022: “El problema en la red ferroviaria italiana generado esta mañana por los sistemas de señalización producidos por Bombardier Transportation se debe a un fallo informático que ya ha sido mitigado en las primeras horas por una intervención técnica en toda la red. Alstom pide disculpas por las molestias causadas a los pasajeros y se compromete a prestar todo el apoyo necesario a RFI para mantener el sistema de control de tráfico centralizado e informatizado, en beneficio de toda la red”.

Días más tarde, Trenitalia avisa al personal y a los usuarios de la suspensión de algunos servicios debido a un ciberataque. La conexión sería bastante natural, teniendo en cuenta la estrecha relación proveedor/cliente de los dos grupos empresariales. 

No obstante, se trata de una hipótesis, que posiblemente se confirme con la evolución futura de este asunto. Lo que sí es cierto es que los sistemas de gestión de billetes se han desconectado, lo que ha repercutido en los gestores de los trenes que, en cualquier caso, han mantenido hasta ahora el buen funcionamiento de los trenes sin ningún retraso debido a este incidente. 

Los inicios de sesión de los empleados encontrados en línea: posible vehículo de la intrusión 

Mientras tanto, Cybersecurity360 pudo ver capturas de pantalla de los inicios de sesión de los empleados de Trenitalia (con credenciales, contraseñas, cookies, componentes de máquinas con malware) tomados de redes de bots conocidas (redline y arkei).  

Quizás la prueba de que el ataque fue posible gracias a las credenciales robadas a los empleados (probablemente en el trabajo inteligente) en las últimas semanas o meses. 

Actualizaremos el artículo tan pronto como se sepa algo más.

Por Darío Fada y Alessandro Longo 

@RESERVADOS TODOS LOS DERECHOS
I
Redacción Innovación Digital 360

Nota 1 de 5