Il pagamento di un riscatto in bitcoin agli hacker porta il comune di Cangas in tribunale per appropriazione indebita | Spagna
Un attacco informatico ha paralizzato il funzionamento del Comune di Cangas de Morrazo (Pontevedra) tra maggio e giugno 2023. Ha colpito il database della Polizia Municipale, il catasto e le buste paga dei funzionari. IL hacker Hanno poi richiesto un riscatto di 248.415 euro in bitcoin, la più nota criptovaluta che consente trasferimenti anonimi. In cambio darebbero le chiavi per rilasciare i file infetti. Ora la storia continua in tribunale. La Procura ritiene che l’amministrazione locale abbia commesso un presunto reato di appropriazione indebita di fondi pubblici e un altro di prevaricazione a causa della decisione del sindaco Araceli Gestido (BNG) di pagare per il presunto ricatto.
L’allarme è scattato all’alba alla Questura della Polizia Locale quando uno degli agenti ha tentato di accedere al database per consultare i precedenti di un detenuto. In quei momenti di caos, l’ufficio del sindaco è stato occupato da Victoria Portas, del partito Alternativa dos Veciños (AV), che ha respinto il ricatto degli hacker, dopo aver denunciato il caso alla Guardia Civil ed essere stata diffidata a non accettare alcun pagamento. Ma qualche giorno dopo tutto è cambiato con lo svolgimento delle elezioni comunali in cui il sindaco ha votato per il BNG. Attraverso una società intermediaria, il nuovo sindaco ha consentito il riscatto in bitcoin in cambio delle chiavi che avrebbero permesso di decriptare tutti i file infettati dal virus. ransomware Lockbit 3.0secondo la denuncia che la Procura ha presentato in tribunale lo scorso marzo e in cui vengono chiarite le questioni del caso.
Sia il PP di Cangas, sia successivamente l’AV, il partito dell’ex sindaco, hanno presentato una denuncia che ha aperto un’indagine penale sul pagamento di questo presunto ricatto. Nell’elaborazione del caso, diverse persone coinvolte nella gestione del salvataggio hanno già dovuto andare in tribunale a testimoniare in qualità di indagati e personale del Comune in qualità di testimoni.
Sebbene i ricorrenti abbiano rinunciato a comparire come accusa nel procedimento, nel BNG c’è preoccupazione per l’evoluzione giudiziaria che la vicenda potrà avere. Il Consiglio Comunale ha evitato valutazioni sul caso, in attesa che la Giustizia si pronunci, soprattutto per non ostacolare le indagini in corso da parte della Guardia Civil.
Per il PP è chiaro che la cosa doveva essere denunciata, una volta visionato il contenuto della documentazione del Fascicolo Cyberattack, e trasmessa alla Procura. “Non vogliamo essere complici di un’organizzazione criminale, né vogliamo giocare allegramente con i soldi dei vicini”, dice la portavoce municipale Dolores Hermelo. “La nostra intenzione non è ottenere un vantaggio politico dal caso, ma la nostra lealtà no al governo locale, ma ai cittadini che vogliono sapere la verità e come ha agito il Comune”, conclude.
Hermelo ha sottolineato il fatto che gli attacchi informatici stanno colpendo altri consigli comunali e organizzazioni ufficiali e che la risposta dovrà essere approvata affinché il hacker non raggiungono il loro obiettivo. “È qualcosa di molto serio e quello che dobbiamo fare è essere preparati con aziende che garantiscano che i sistemi di sicurezza possano respingere un attacco, o che possano minimizzarne gli effetti”, aggiunge.
L’opposizione ricorda che alcuni mesi fa il consiglio comunale di Redondela, governato dal PSOE, ha risposto ad un attacco simile in modo molto diverso. Lì non hanno accettato il ricatto e hanno optato per l’assunzione di una società specializzata per un importo 40 volte inferiore a quello pagato da Cangas.
Uno strano salvataggio
Il pubblico ministero del caso è rimasto colpito dal fatto che tre giorni prima delle elezioni, il governo locale uscente aveva approvato un budget di 5.279 euro con la società che forniva assistenza tecnica in materia informatica al Comune, Evelb Técnicas y SL Systems (ETYS), per effettuare uno studio forense e crittografico di tutti i sistemi interessati, ma non ha ottenuto risultati. Tuttavia, un mese dopo, Araceli Gestido ha aggiudicato alla stessa società un nuovo appalto per un importo di 197.843 euro, attraverso una procedura d’urgenza per la decrittazione e il recupero dei dati di sistema.
Dopo aver firmato questo contratto, è stata ottenuta la decrittografia della maggior parte dei file infetti. Nel fascicolo comunale risulta un verbale redatto dalla suddetta società, senza data né firma, in cui si registra che “era stata effettuata una trattativa con gli autori dell’attacco informatico e il riscatto era stato pagato in criptovalute, nello specifico bitcoin, ” dice la Procura.
Il Pubblico Ministero registra nella sua denuncia l’esistenza di possibili indizi secondo cui il secondo appalto aggiudicato alla società informatica era proprio il pagamento del riscatto. Se così fosse, si configura un reato di malversazione ed un altro di prevaricazione amministrativa per l’irregolare aggiudicazione dell’appalto alla società informatica. Per indagare su questi eventi, il dossier corrispondente è stato richiesto al Comune di Cangas. Copia della denuncia è stata richiesta anche alla società informatica che ha condotto le trattative con gli autori dell’attacco informatico, per il quale il suo amministratore, MFS, è stato citato a testimoniare come sospettato.
Sono stati citati come testimoni il tecnico della società che ha redatto il verbale, il responsabile dei sistemi informatici del Comune e il revisore dei conti comunale. Altre indagini si sono concentrate sulle informazioni bancarie necessarie per determinare il pagamento del riscatto.
Per il pubblico ministero, “ci sono prove sufficienti per comprendere che i responsabili del Comune erano a conoscenza che l’appalto aggiudicato a ETYS SL per un importo di 197.843 euro “era in realtà destinato a pagare l’importo negoziato con gli autori dell’attacco informatico. ”, anche se l’amministratore dell’azienda ha dichiarato che l’idea di negoziare con i criminali informatici è stata una sua decisione, lasciando fuori il Consiglio comunale.
Secondo l’amministratore, sono state prese in considerazione le possibilità di ottenere un valore ragionevole del riscatto e l’importo che il Comune sarebbe disposto a versare. Ma per il pm le sue argomentazioni “non rispondono a criteri di logica” perché un nuovo appalto, per un importo molto più alto, era stato aggiudicato alla stessa azienda che aveva fallito nel primo tentativo di risolvere il problema “Un problema informatico, “a meno che non ci sia una garanzia evidente che possa farlo”, sottolinea la denuncia della Procura.
Secondo l’indagine, quando il Comune ha chiesto all’azienda vincitrice la giustificazione del rispetto del contratto, ciò che l’azienda informatica ha inviato è stato il rapporto di recupero dei dati dopo l’attacco informatico. “In esso viene descritto in modo del tutto naturale, come una delle attività svolte, contattare i criminali informatici per ottenere dettagli sulle richieste e sull’eventuale rilascio di chiavi e strumenti di decrittazione, nonché per effettuare un processo di negoziazione, accettare il riscatto e procedere al pagamento in bitcoin”, sottolinea la Procura nella sua denuncia.
Un altro indizio del salvataggio è l’immediatezza dei pagamenti, che rivela che il suo prezzo sarebbe già stato fissato dall’inizio. Pertanto, il pubblico ministero ritiene che ci sia stata una presunta prevaricazione perché “un appalto pubblico è stato aggiudicato sapendone l’oggetto. “Si è trattato del pagamento illegale di un riscatto agli autori dell’attacco informatico”, e un altro di appropriazione indebita di fondi pubblici perché i fondi pubblici sono stati utilizzati per lo stesso scopo, oltre a un altro di danneggiamento informatico e di coercizione.
