Non si sa molto, per adesso: quel che è sicuro, mentre le indagini sono ancora in corso, è che il Comune di Rieti ha subito un attacco ransomware. L'attacco è iniziato Mercoledì mattina ed ha consentito agli attaccanti di avere accesso completo alla rete informatica della sede municipale del Comune. Non è trapelata, per adesso, alcuna notizia riguardante la tipologia di ransomware usato.

Gli attaccanti sono tutt'ora presenti nella rete del comune e, oltre a criptare i dati, ne hanno rubati una quantità non precisata. Il riscatto richiesto, in Bitcoin, ammonta a 500.000 euro, una cifra assolutamente non accessibile per il Comune di Rieti.

Il Comune ha dato mandato ad una società esterna di aiutare il CED (Centro Elaborazione Dati) per ripristinare quanti più dati possibili dai backup: parte dei dati dovrebbe invece essere in salvo perchè memorizzata sul cloud. Dalle prime indagini della Polizia Postale sembrerebbe infatti che i server cloud non siano stati violati.

L'intruso in videoconferenza
Come detto, non è chiaro né il tipo di ransomware nè le modalità di intrusione: è stato però registrato un episodio piuttosto sospetto Venerdì mattina. Il Comune di Rieti, come molti altri enti pubblici, ha optato per lo smart working e l'uso dellle videoconferenze per non sospendere le attività durante il lockdown. Venerdì mattina, tramite una piattaforma esterna per videoconferenze, si è svolto un incontro della commissione congiunta Servizi Sociali e regolamenti: nel corso della call, l'admin si è accorto della presenza di una persona che mostrava solo le iniziali "lq" e che, a microfono e webcam spenti, partecipava alla commissione. Nessuno delle persone che dovevano presenziare alla commissione ha quelle iniziali e tutte le persone riguardate hanno smentito la loro partecipazione in quelle modalità. Gli admin quindi hanno fatto richiesta esplicita di identificarsi, ma l'account si è subito disconnesso dalla call e non è stato possibile quindi risalire alla sua identità. Anche su questo fatto indaga la Polizia Postale, ritenendo con molta probabilità quest'episodio un chiaro segno del fatto che gli attaccanti sono ancora dentro la rete comunale.