Il confine IT/OT non dà garanzie. E il caso del porto di Ancona lo dimostra
Per bloccare un porto oggi non è necessario manomettere le gru, sabotare i sistemi di ormeggio o com 2026-7-1 08:8:42 Author: www.cybersecurity360.it(查看原文) 阅读量:7 收藏

Per bloccare un porto oggi non è necessario manomettere le gru, sabotare i sistemi di ormeggio o compromettere i radar. Basta cifrare gli account cloud che coordinano la logistica.

Lo dimostra l’attacco ransomware al porto di Ancona dello scorso dicembre, documentato in un’analisi tecnica pubblicata recentemente dalla società americana Resecurity.

Il gruppo Anubis aveva compromesso (solo) degli account Office 365 e Azure configurati in modo non sicuro, senza avvicinarsi a un singolo sistema di controllo industriale. Eppure, le navi sono state deviate, il cargo bloccato, le operazioni doganali fermate.

Questo ridisegna il perimetro del rischio informatico nei porti italiani ed europei in modo che molti responsabili della sicurezza non si aspettano.

Dicembre 2025, porto di Ancona: la ricostruzione

La violazione è iniziata l’11 dicembre 2025 con una mail. Qualcuno, nell’organizzazione che gestisce operativamente l’Autorità di Sistema Portuale del Mare Adriatico Centrale, ha aperto un allegato malevolo.

Da lì, il gruppo ransomware Anubis ha avviato una sequenza che segue le tappe consuete: escalation dei privilegi, movimento laterale nella rete, accesso ai sistemi di produzione, esfiltrazione di dati, cifratura.

La rivendicazione pubblica è arrivata a gennaio 2026: il gruppo ha pubblicato il materiale sottratto e la compromissione è diventata ufficialmente un incidente di sicurezza noto.

La richiesta di riscatto è stata di dieci milioni di dollari in Bitcoin, con un ultimatum di sette giorni prima della pubblicazione integrale dei dati sottratti. I sistemi cifrati erano quelli che gestivano il tracciamento del cargo, i calendari delle navi e i processi doganali: tre funzioni che, se inaccessibili simultaneamente, rendono di fatto impossibile operare un qualsiasi porto.

L’autorità portuale ha dichiarato che la perdita ha riguardato circa il 2% dei dati complessivi, che i backup hanno preservato la parte restante e che la maggior parte del materiale sottratto era già di dominio pubblico o prossimo alla pubblicazione.

Vincenzo Garofalo, Commissario straordinario dell’Autorità di sistema portuale del mare Adriatico centrale, oggi sull’accaduto risponde così a CyberSecurity360: “Siamo una pubblica amministrazione che ha saputo affrontare un evento imprevedibile e così complesso come l’attacco informatico che abbiamo subito. Lo abbiamo potuto fare perché l’Ente è strutturato per gestire queste situazioni. Purtroppo, per quanto si possa fare prevenzione e prepararsi, questi avvenimenti hanno una chiara natura criminosa sulla quale non si può mai abbassare la guardia. Un fatto che ci ha spinto a potenziare ulteriormente gli investimenti a difesa dell’Autorità di sistema portuale e a coinvolgere, in maniera ancora più approfondita, tutto il personale che ha partecipato negli ultimi mesi ad una nuova serie di corsi specialistici per alzare il livello di attenzione su questi rischi e per gestire con efficacia qualsiasi segnale di anomalia coinvolgendo nell’immediato la struttura informatica dell’Adsp”.

Sono affermazioni che si leggono in ogni comunicazione post-incidente orientata a contenere l’impatto reputazionale. Ma il rapporto di Resecurity dice qualcosa di più scomodo: i protocolli di backup erano obsoleti e hanno rallentato significativamente il ripristino, proprio nel momento in cui ogni ora di blocco si traduceva in pressione crescente per favorire il pagamento.

Il dato che cambia la prospettiva: niente OT, eppure tutto si è fermato

Il rapporto di Resecurity segnala un dato che vale la pena isolare: l’attacco non ha richiesto il targeting dei sistemi di tecnologia operativa. La compromissione è avvenuta esclusivamente attraverso vulnerabilità IT, in particolare account Office 365 e Azure configurati in modo non sicuro, producendo comunque conseguenze nel dominio ciber-fisico.

Il dibattito sulla sicurezza delle infrastrutture critiche si è a lungo organizzato attorno alla distinzione tra IT e OT: da una parte i sistemi informatici aziendali, dall’altra i sistemi di controllo industriale che governano i processi fisici, con la convinzione che la separazione tra i due ambienti offrisse una garanzia strutturale.

Il caso di Ancona dimostra che questa impostazione è superata. I sistemi informatici ordinari – quelli usati per gestire le operazioni amministrative, le comunicazioni interne, la logistica documentale – sono ormai così intrecciati con i processi operativi reali che la loro compromissione produce effetti fisici comparabili a un attacco ai sistemi di controllo industriale.

Le piattaforme cloud, le applicazioni SaaS, i sistemi di gestione documentale integrati con le procedure doganali: tutto questo forma uno strato informatico senza il quale le banchine, fisicamente intatte, non riescono a funzionare.

Nei porti, dove la dipendenza dall’integrazione digitale è particolarmente densa e i sistemi legacy particolarmente radicati, l’esposizione è più manifesta che in altri settori.

Il gruppo Anubis: un anno di vita e un modello di business rodato

Anubis è un gruppo giovane. È comparso per la prima volta a dicembre 2024 e ha lanciato il proprio programma di affiliazione a febbraio 2025 sul forum clandestino RAMP, il Russian Anonymous Marketplace, dove opera sotto l’alias superSonic. Su altri forum come XSS ed Exploit usa il nome Anubis_media. Non ha nessuna relazione con il malware Android omonimo degli anni precedenti: è un gruppo completamente distinto.

Fonte: resecurity.com.

Il modello adottato è il ransomware-as-a-service: il gruppo sviluppa gli strumenti, recluta affiliati e cede loro l’accesso in cambio di una percentuale variabile del bottino, dall’80% per le operazioni ransomware complete al 50% per chi si limita a vendere le credenziali di reti già compromesse.

Il gruppo afferma di aver superato 20 milioni di dollari di ricavi, mantiene un profilo X con cui amplifica la visibilità delle violazioni rivendicate, e dichiara di non colpire organizzazioni nei paesi dell’ex Unione Sovietica e nei paesi BRICS.

Anubis tecnicamente sfrutta vulnerabilità note e non corrette: VPN SonicWall prive di autenticazione a più fattori, la vulnerabilità CVE-2025-26399 su SolarWinds Web Help Desk, VPN SSL Cisco. Impiega macchine virtuali QEMU (quick emulator) per nascondersi agli strumenti di rilevamento, una tecnica di evasione progressivamente più diffusa nel ransomware avanzato.

Il tratto più caratteristico di Anubis è la doppia estorsione praticata con coerenza: prima si esfiltra, poi si cifra. Questo ordine non è casuale. Consente di esercitare pressione sulla vittima anche nel caso in cui disponga di copie di backup: il rischio di vedere pubblicati contratti, dati del personale e informazioni riservate è una leva di coercizione che sopravvive al ripristino dei sistemi.

Nel caso del porto di Ancona, il materiale sottratto ha incluso contratti, dati del personale e piani di sicurezza e informazioni sulle operazioni di protezione portuale.

Resecurity ha sottolineato che questa categoria di dati non ha valore soltanto in un contesto di estorsione informatica: è esattamente il tipo di informazioni che le organizzazioni criminali coinvolte nel contrabbando cercano per pianificare operazioni, mappare vulnerabilità procedurali e reclutare personale interno. L’incidente informatico diventa così anche un potenziale incidente di sicurezza fisica.

Il contesto italiano e il nodo NIS2

Il porto di Ancona non è un caso astratto da manuale. È un porto italiano, parte di un sistema di quindici autorità di sistema portuale che rientrano pienamente nel perimetro della direttiva NIS2, recepita in Italia con il decreto legislativo 138/2024. Le autorità portuali sono soggetti essenziali ai sensi della direttiva: gestiscono infrastrutture critiche per il trasporto, sono interconnesse con i sistemi doganali nazionali e con le piattaforme logistiche europee, e i loro incidenti producono effetti transfrontalieri.

NIS2 impone misure di gestione del rischio proporzionate all’esposizione: autenticazione sicura, gestione degli account privilegiati, backup testati, sicurezza della catena di approvvigionamento digitale, notifica degli incidenti significativi all’Agenzia per la Cybersicurezza Nazionale (ACN) entro 24 ore. Introduce anche la responsabilità diretta degli organi di gestione: i vertici delle autorità portuali non possono più delegare la questione al reparto IT.

Il caso di Ancona solleva domande concrete. Gli account Office 365 e Azure privi di adeguate protezioni erano stati identificati come rischio nella valutazione prevista da NIS2? I backup erano stati testati con la frequenza necessaria, o la dipendenza da protocolli obsoleti era rimasta invisibile fino all’attacco? La notifica all’ACN è avvenuta nei tempi previsti, considerando che la violazione risale a dicembre 2025 e la rivendicazione pubblica è arrivata a gennaio 2026?

Porti come bersagli: una tendenza strutturale

Il caso di Ancona non è isolato. È l’episodio più recente di una tendenza documentata e in accelerazione. Nel 2017, NotPetya ha paralizzato la danese Maersk, causando perdite stimate tra i 200 e i 300 milioni di dollari e bloccando le operazioni globali per oltre una settimana. Nel 2023, LockBit 3.0 ha fermato il porto di Nagoya per due giorni, interrompendo le forniture di componenti Toyota. Nel 2026, il porto di Vigo ha dovuto ricorrere a operazioni manuali dopo un attacco ransomware.

Resecurity prevede un’intensificazione di questa pressione dal 2026 al 2030, alimentata da tre fattori che si rafforzano reciprocamente: la digitalizzazione accelerata del settore marittimo, la proliferazione del modello ransomware-as-a-service che abbassa la soglia di ingresso per i gruppi criminali, e l’uso dei porti come obiettivi in operazioni di guerra ibrida da parte di attori statali.

I porti non sono soltanto snodi commerciali: gestiscono circa il 90% del commercio globale e la loro compromissione produce effetti che vanno dal danno economico immediato alla destabilizzazione delle catene di approvvigionamento nazionali.

Cosa cambia per chi gestisce sicurezza in ambienti portuali e logistici

La prima implicazione riguarda la superficie di attacco. L’adozione di strumenti cloud e piattaforme SaaS nei porti ha spostato il perimetro di sicurezza in modo che molte organizzazioni non hanno ancora pienamente assorbito.

Il presupposto che i sistemi critici siano quelli con accesso diretto all’infrastruttura fisica è errato, secondo gli esperti: qualsiasi account con accesso privilegiato a sistemi che coordinano le operazioni portuali è un bersaglio ad alto valore.

L’autenticazione a più fattori su tutti gli accessi amministrativi non è una buona prassi: è un requisito minimo, e la sua assenza è precisamente il tipo di lacuna che Anubis sfrutta sistematicamente.

La seconda riguarda la catena di fornitura digitale. Il punto di ingresso nell’incidente di Ancona non è stata l’autorità portuale in senso stretto, ma la società che ne gestisce le operazioni.

I fornitori di servizi con accesso privilegiato all’infrastruttura sono spesso meno presidiati rispetto all’organizzazione principale, e diventano la via d’accesso preferita. NIS2 richiede esplicitamente di estendere la gestione del rischio ai fornitori rilevanti, inclusi quelli che gestiscono operativamente sistemi informatici critici per conto dell’organizzazione.

La terza riguarda i backup. L’incidente ha dimostrato che esistere e funzionare sono condizioni diverse. Testare regolarmente la capacità di ripristino, con prove reali, non solo verifiche documentali, è il discrimine tra una risposta all’incidente efficace e una che si trasforma in capitolazione.

La quarta riguarda il valore dei dati operativi. I piani di sicurezza portuale e le informazioni sulle operazioni di vigilanza appartengono a una categoria diversa dai dati personali o commerciali: il loro valore per organizzazioni criminali coinvolte nei traffici illeciti può superare di molto quello di contratti e dati del personale. Proteggerli richiede un approccio che non si esaurisce nel rispetto del GDPR.

La domanda che resta aperta

Il porto di Ancona non è l’eccezione. È la dimostrazione di una condizione diffusa: quella di infrastrutture critiche che si sono digitalizzate senza sviluppare parallelamente la maturità necessaria per gestire l’esposizione che questa digitalizzazione comporta.

Il problema non è l’assenza di indicazioni su cosa fare: le misure sono documentate, codificate nei framework internazionali e richieste dalla normativa. È la distanza tra ciò che viene richiesto e ciò che viene effettivamente implementato in organizzazioni pubbliche che operano con vincoli di budget, cicli burocratici lenti e una cultura della sicurezza informatica che si è sviluppata in ritardo rispetto alla trasformazione tecnologica.

E quindi le autorità di sistema portuale italiane dispongono delle condizioni necessarie per adempiere agli obblighi che NIS2 impone? Il coordinamento tra Ministero delle Infrastrutture e dei Trasporti, ACN e le singole autorità portuali è sufficientemente operativo da consentire la condivisione dell’intelligence sulle minacce prima che un attacco dimostri l’inadeguatezza dei presidi?

La risposta a queste domande determina se Ancona resta un caso isolato o diventa il primo di una serie. La storia degli attacchi ai porti degli ultimi anni suggerisce con chiarezza quale delle due opzioni sia più probabile, se le condizioni strutturali non dovessero cambiare.


文章来源: https://www.cybersecurity360.it/outlook/il-confine-it-ot-non-da-garanzie-e-il-caso-del-porto-di-ancona-lo-dimostra/
如有侵权请联系:admin#unsafe.sh