Quando un'intera città americana è stata paralizzata da un ransomware - La realtà del cyberattacco di Saint Paul

Sicurezza
https://it.andytips.com/posts/2025/saint-paul-attacco-ransomware-interlock-caso-studio-2025/
Indice

Lo scorso luglio, un attacco ransomware assolutamente devastante ha colpito Saint Paul, Minnesota, causando uno dei peggiori incidenti di cybersicurezza nella storia municipale americana.
L’intero sistema informatico della città è stato paralizzato, le comunicazioni di rete sono fallite, i cittadini non potevano pagare le bollette dell’acqua, le biblioteche hanno perso l’accesso Wi-Fi e persino i dipendenti comunali non potevano lavorare.

Si è rivelato essere un attacco ransomware orchestrato da un gruppo di hacker chiamato “Interlock.”
La cosa più indignante è che quando la città ha rifiutato di pagare le loro richieste, questi criminali hanno pubblicato 43GB di dati dei cittadini su Internet.

Esaminiamo esattamente cosa è successo e cosa possiamo imparare da tutto questo.

Come è iniziato tutto

Mi sono imbattuto in questa storia mentre scorrevo le notizie sulla sicurezza informatica.
In Corea abbiamo avuto diversi attacchi ransomware ultimamente, quindi sto tenendo d’occhio cosa succede altrove. Ma questo? Questo era un altro livello.
Un’intera città americana messa in ginocchio. Non potevo crederci.

Riesci a immaginare cosa si prova ad avere un’intera città paralizzata?
Quando ci ho pensato, è stato davvero terrificante.
Tutti i servizi digitali che diamo per scontati nella vita quotidiana diventano improvvisamente inutili in un istante.
(Voglio dire, possiamo ancora funzionare senza Internet ormai?)

Cronologia dell’attacco

Ecco come si sono svolti gli eventi, giorno per giorno.

  • 22 luglio 2025: L’Agenzia per la Cybersicurezza e la Sicurezza delle Infrastrutture degli Stati Uniti (CISA) emette un avviso sul gruppo ransomware Interlock
  • 25 luglio 2025: I sistemi di sicurezza automatizzati di Saint Paul rilevano per la prima volta “attività sospette” e inizia l’attacco
  • 25-27 luglio 2025: L’attacco continua per tutto il fine settimana, i danni al sistema si intensificano
  • 27 luglio 2025: Le autorità municipali spengono completamente tutti i sistemi informativi per prevenire ulteriori danni
  • 28 luglio 2025: Wi-Fi del municipio e delle biblioteche pubbliche spento, strumenti di pagamento online disabilitati, accesso alla rete interna sospeso (i servizi di emergenza 911 (numero di emergenza americano) rimangono operativi)
  • 29 luglio 2025: Il sindaco Melvin Carter dichiara ufficialmente lo stato di emergenza locale / Il governatore Tim Walz attiva il team di protezione informatica della Guardia Nazionale del Minnesota / L’FBI avvia le indagini e schiera due società di cybersicurezza nazionali
  • 30 luglio 2025: La città annuncia che gli stipendi dei dipendenti saranno pagati normalmente nonostante il blocco del sistema paghe
  • 1 agosto 2025: Il Consiglio Comunale di Saint Paul decide all’unanimità di estendere lo stato di emergenza per 90 giorni
  • 8 agosto 2025: Elaborazione manuale delle paghe completata, tutti i dipendenti pagati normalmente
  • 10 agosto 2025: Attaccante identificato come il gruppo ransomware ‘Interlock’ ufficialmente confermato / Inizia l’operazione di recupero “Operation Secure St. Paul” (reimpostazioni password e controlli delle attrezzature per circa 3.500 persone)
  • 11 agosto 2025: La città annuncia ufficialmente il rifiuto delle richieste di riscatto / Interlock si vendica pubblicando 43GB di dati rubati sul dark web (principalmente documenti del Dipartimento Parchi e Ricreazione) / Annuncia servizio gratuito di monitoraggio del credito di 12 mesi per tutti i dipendenti
  • 12 agosto 2025: Operazione Secure St. Paul Fase 1 completata (oltre 2.000 persone elaborate)
  • Fine agosto 2025: Servizi telefonici, pagamenti bollette acqua online, sistemi di pagamento parchi e ricreazione iniziano il recupero graduale

Luglio 2025: Guasto del sistema di Saint Paul

I primi segnali sospetti a Saint Paul sono stati rilevati venerdì mattina, 25 luglio 2025.
I sistemi di sicurezza automatizzati della città hanno rilevato “attività sospette.” Ma era già troppo tardi.

L’attacco degli hacker è continuato per tutto il fine settimana. Dal 25 al 27 luglio, l’intera città era essenzialmente sotto assedio digitale.
Per prevenire ulteriori danni, le autorità municipali hanno preso la drastica decisione di spegnere tutti i sistemi informativi domenica 27 luglio.

Quali sono state le conseguenze?
Il Wi-Fi del municipio e delle biblioteche pubbliche si è completamente spento, e i sistemi di pagamento online erano totalmente paralizzati.
I cittadini non avevano modo di pagare le loro bollette dell’acqua.

Sono riusciti a mantenere attivo il 911 (numero di emergenza americano) - che, sai, è piuttosto fondamentale.
Ma tutti quegli altri servizi su cui le persone fanno affidamento? Pagamenti delle bollette dell’acqua,
archivi comunali, sistemi interni… tutto offline.

Stato di emergenza

Il 29 luglio, il sindaco di Saint Paul, Melvin Carter, ha deciso che non potevano resistere oltre.
Ha annunciato ufficialmente che questo non era solo un semplice errore di sistema, ma piuttosto “un attacco digitale intenzionale e coordinato da attori esterni sofisticati.”

Ha immediatamente dichiarato uno stato di emergenza locale.
Questo mostra quanto fosse diventata grave la situazione.

Anche il governatore del Minnesota Tim Walz ha emesso un ordine esecutivo quella sera, schierando il team di protezione informatica della Guardia Nazionale del Minnesota.
La ragione ufficiale era che “la portata e la complessità dell’attacco superavano le capacità di risposta della città.”
Pensaci - schierare la Guardia Nazionale per un attacco informatico a una città… è assolutamente senza precedenti.

L’FBI si è coinvolto. Anche due grandi società di cybersicurezza. Tutti correvano come pazzi.

L’identità di Interlock

Solo il 10 agosto è stata rivelata l’identità degli attaccanti.
In una conferenza stampa, il sindaco Carter ha rivelato che era opera di un gruppo ransomware chiamato “Interlock.” (Il che, onestamente, ha richiesto molto più tempo di quanto penseresti.)

Interlock non è un qualsiasi gruppo di hacker.
L’Agenzia per la Cybersicurezza e la Sicurezza delle Infrastrutture degli Stati Uniti (CISA) aveva emesso un avviso su di loro solo tre giorni prima dell’attacco.
Il sindaco Carter li ha descritti come “un’organizzazione sofisticata, motivata finanziariamente, che prende di mira aziende, ospedali e agenzie governative, rubando e vendendo terabyte di informazioni sensibili.”

La loro richiesta era semplice:
Pagateci.

L’importo esatto? Nessuno lo dice. Ma St. Paul non ha ceduto.
Ed è allora che le cose si sono fatte brutte.

Rappresaglie e fuga di dati dei cittadini

Quando la città ha rifiutato di pagare il riscatto, è iniziata la rappresaglia di Interlock.
L'11 agosto, hanno pubblicato 43GB di dati rubati da Saint Paul su Internet.

Fortunatamente, la maggior parte dei dati trapelati proveniva dalle unità condivise del Dipartimento Parchi e Ricreazione.
Includevano documenti di lavoro, copie di documenti d’identità che i dipendenti avevano inviato alle Risorse Umane e persino ricette di cucina personali - descritti come materiali “diversi e non sistematici.”

Ma non sapendo cos’altro potrebbe trapelare, la città ha dovuto rassicurare i suoi cittadini.
La città ha annunciato che avrebbe fornito a tutti i dipendenti 12 mesi di monitoraggio del credito gratuito e servizi di protezione contro il furto d’identità.
Questa è stata una misura precauzionale nel caso in cui informazioni più sensibili fossero state compromesse.

Avvio dell’operazione di recupero

Per ripristinare i loro sistemi, Saint Paul ha lanciato un’operazione massiccia.
Chiamata “Operation Secure St. Paul,” questo sforzo ha richiesto che tutti i circa 3.500 dipendenti comunali si riunissero nel seminterrato del Roy Wilkins Auditorium e facessero la fila davanti a circa 80 computer installati lì.

I dipendenti dovevano presentare i loro documenti d’identità e numeri di dipendente, trascorrere circa 30 minuti a reimpostare le password e sottoporsi a controlli di sicurezza sui loro laptop di lavoro.
Questo processo è continuato per tre giorni dal 10 al 12 agosto, dalle 6 del mattino alle 22.
È stato un reset completo. Devono aver avuto un momento incredibilmente difficile.

Solo dopo aver reimpostato tutte le informazioni dell’account
hanno potuto iniziare a riavviare i sistemi uno per uno.

Cos’è il ransomware?

Breve ripasso sul ransomware, nel caso tu non abbia familiarità.

È fondamentalmente presa di ostaggi digitale.
Il software si infiltra nel tuo sistema, blocca tutti i tuoi file importanti con la crittografia, e poi - ecco il trucco - richiede un pagamento per sbloccarli.
Tipo “paga o perdi tutto”.

Gli attaccanti ransomware di oggi sono diventati più subdoli.
Non si limitano a crittografare i file - rubano dati importanti in anticipo.
Quindi quando le vittime si rifiutano di pagare, aggiungono un’altra minaccia: “Allora pubblicheremo le informazioni personali dei tuoi clienti o cittadini su Internet.”

Questo si chiama “Doppia Estorsione.”

I motivi dei criminali

Allora perché questi criminali investono così tanto tempo e sforzo in queste infezioni?

Soldi, ovviamente.
Questi attacchi generano un sacco di soldi - stiamo parlando di centinaia di migliaia, a volte milioni per colpo. Quando prendi di mira ospedali o governi municipali, il guadagno può essere massiccio.
Ecco perché tutti stanno saltando sul carro.

Poi c’è tutta questa faccenda del RaaS - Ransomware as a Service.
Pensa a un modello di franchising: grandi gruppi come Interlock costruiscono gli strumenti, hacker più piccoli
eseguono gli attacchi veri e propri, tutti condividono i profitti.
Un accordo tipo “io mi occupo della tecnologia, tu fai il lavoro sporco”.

Anche la criptovaluta ha reso le cose più facili.
I pagamenti in Bitcoin sono quasi impossibili da tracciare, quindi i criminali si sentono molto più sicuri a chiedere riscatti in questo modo.

E onestamente? Ci sono ancora tonnellate di obiettivi facili là fuori.
Governi locali, piccole imprese - molti non investono abbastanza in sicurezza.
Pensano “non succederà a noi” finché non succede.
Allora è troppo tardi.

E ci sono ancora molti obiettivi con cybersicurezza debole.
Specialmente i governi locali e le piccole imprese spesso hanno investimenti in sicurezza insufficienti, rendendo facile agli hacker penetrare.
Pensano “non ci succederà niente di grave…” e diventano compiacenti, poi vengono completamente devastati quando vengono attaccati una volta.

Ecco la questione sulla cybersicurezza: Se un hacker vuole davvero entrare,
alla fine ci riuscirà. Ogni sistema ha vulnerabilità.
La domanda non è “possono entrare?” ma “quanto tempo ci vorrà?” Una sicurezza forte ti fa guadagnare tempo - a volte abbastanza perché si arrendano e passino oltre.

Cosa possiamo fare

Allora come possiamo proteggerci da tali attacchi?

I backup sono la tua rete di sicurezza.
Conserva copie di file importanti su dischi esterni o storage cloud - da qualche parte separato dal tuo sistema principale.
In questo modo, se il ransomware colpisce, non sei completamente fregato.
Solo una cosa: non lasciare i dischi di backup collegati permanentemente al tuo computer.
Possono essere crittografati anche loro se il malware si diffonde.
Sì, è un po’ una seccatura scollegarli ogni volta, ma ne vale la pena.

Mantieni tutto aggiornato.
Lo so, lo so - le notifiche di aggiornamento sono fastidiose.
Ma quelle patch di sicurezza esistono per una ragione.
Quando il tuo sistema operativo o software ti chiede di aggiornare, non rimandare.
Gli hacker cercano specificamente sistemi che eseguono software obsoleto con vulnerabilità note.
Prendi l’abitudine di installare gli aggiornamenti appena disponibili.

Tratta le email sospette come veleno.
Ecco la questione - la maggior parte del ransomware non appare magicamente sul tuo computer.
Ha bisogno che tu lo faccia entrare, di solito attraverso un’email di phishing.
Quell’allegato da qualcuno che non conosci? Cancellalo.
Quel link in un messaggio strano? Non cliccare.
Se qualcosa ti sembra strano in un’email, probabilmente lo è.
Fidati del tuo istinto.

Usa password forti e abilita l’autenticazione a due fattori.
Password diversa per ogni account - sì, è una seccatura ricordarle tutte, ma è per questo che esistono i gestori di password.
E attiva l’autenticazione a due fattori ovunque possibile.
Aggiunge un livello extra che rende la vita molto più difficile agli attaccanti che cercano di entrare nei tuoi account.

Renditi un obiettivo difficile.
Ecco qualcosa che gli esperti di sicurezza sanno: se un hacker determinato vuole davvero entrare in un sistema specifico, alla fine troverà un modo.
Ma ecco le buone notizie - la maggior parte degli hacker non è così paziente.
Cercano vittorie facili, non sfide.
Quindi accumula le misure di sicurezza.
Password forti, autenticazione a due fattori, software aggiornato, impostazioni firewall - tutto.
Rendi il tuo sistema abbastanza fastidioso da craccare, e gli hacker di solito passeranno a obiettivi più facili.
Stanno gestendo un business, dopotutto.
Il tempo è denaro, anche per i criminali.

Consapevolezza della sicurezza quotidiana

In realtà, mi sono trovato a riflettere molto mentre ricercavo questo incidente di Saint Paul.
Penso di essere stato troppo compiacente riguardo alla cybersicurezza nella mia vita quotidiana.

Le nostre vite quotidiane sono inseparabili dalla tecnologia digitale, giusto?
Dall’online banking allo shopping, social media e lavoro…
Quasi tutto viene fatto online, ma il nostro interesse per la sicurezza è stato carente.

Soprattutto il pensiero “chi hackerebbe una persona ordinaria come me?” sembra davvero pericoloso.
Il ransomware si diffonde spesso indiscriminatamente piuttosto che prendere di mira individui specifici.
È come gettare una rete ampia per catturare qualsiasi pesce che ci finisce.

Ho anche capito che se vengo attaccato, non dovrei nasconderlo o cercare di risolverlo da solo.
Come ha fatto Saint Paul, dovrei chiedere aiuto apertamente e lavorare con gli esperti per risolverlo.

Attraverso questo incidente ransomware di Saint Paul, ho acquisito un nuovo apprezzamento per quanto sia importante la cybersicurezza.
È stato scioccante che un’intera città potesse essere paralizzata, e spaventoso che tali attacchi stiano diventando sempre più sofisticati.

Quindi sì, questa è la storia di St. Paul. Spaventoso, vero?

Come appare la tua configurazione di sicurezza? Hai storie dell’orrore o consigli da condividere?
Lasciali nei commenti - mi piacerebbe sentire cosa ne pensate tutti voi.