Non solo Sapir e Tcr citate nei forum specializzati. La mail per pagare i riscatti è stata bloccata con facilità limitando i guadagni. La lettura dell’informatico forense: «È strano per un’organizzazione così massiccia…»

Non solo Sapir e Tcr: a Ravenna almeno altre due importanti realtà imprenditoriali, non del settore portuale e non interconnesse con le due aziende citate, sarebbero state colpite dal massiccio attacco hacker diffusosi ieri in varie parti del mondo. Queste le informazioni che circolano in rete sui siti specializzati di sicurezza informatica a proposito del virus Petya.

Ce ne parla il 43enne ravennate Gabriele Gardella, informatico forense che sta seguendo il caso con la società Cyberpolservice: «Questo attacco è un’evoluzione di quello avvenuto poco tempo fa con il virus Wannacry. Stesso meccanismo: dopo il contagio viene bloccato l’accesso a tutti i file del computer e viene chiesto un riscatto per il rilascio immediato dei dati. Questa volta però da quello che ho potuto capire la penetrazione del virus è molto radicata nelle reti aziendali: non mi stupirei se venisse fuori che il virus è stato inoculato da mesi nei server in modo da infettare anche i backup».

C’è un aspetto che però lascia perplesso l’esperto: «Sta emergendo che è stato usato un dominio unico e una email facilmente rintracciabile. Mi pare una mossa estremamente stupida che non mi so spiegare vista la portata dell’azione: così la mail è stata bloccata subito e anche chi era diposto pagare il riscatto non ha potuto farlo». I fatti allora inducono Gardella a una lettura di un certo tipo: «Mi viene da pensare che lo scopo non fosse l’incasso ma fare dei danni alle aziende».

In un attacco di dimensioni planetarie finiscono coinvolte realtà ravennati. Una casualità o obiettivi mirati? «Difficile dirlo senza conoscere i dettagli ma di sicuro si può dire che la dimensione dell’azienda non è un criterio per questo tipo di azioni, a volte si punta soprattutto sulla questione della notorietà e magari ci sono dei nomi ravennati noti fuori dai confini di casa nostra per svariate ragioni».

E ora chi è stato infettato che fa? «Per esperienza personale non metto mano in reti di sistemi su cui non ho fatto prevenzione prima dell’attacco. Però in linea generale bisogna trovare un punto indietro nel tempo in cui il backup della rete non è danneggiato e da lì ripartire rifacendo il lavoro perso».