UPDATE 3.23.2022 at 11.30 pm
The blocking of the IT network that controls the ticket offices and self-services of Italian railway stations is the work of the ransomware group HiveLeaks, this is what emerges from a recent article in Corriere della Sera.
From the chat screen shots published on the newspaper’s online site, you can read the messages of the ransomware group with the request for a ransom of 5 million dollars in bitcoin for the decryption of the files, the payment must be completed – it says – within 72 hours. After this deadline, the redemption price will be doubled.
The decryption of the files, writes Hive in a message, will take place only when RFI has loaded a file with the .key extension in a section of the chat, usually present in C:\ or root “shared fiolder”.
According to a spokesman for RFI (Rete Ferroviaria Italia) no ransom request would have arrived from cybercriminals.

From the early hours of this morning the network that controls the ticket offices and self-services has been shut down as a precaution, no inconvenience for travelers who decide to buy their tickets through the online platform.
A Russian hacker group would be hiding behind the ransomware-type cyber attack, at least this would seem after the first investigations carried out by IT technicians, even if making this hypothesis now seems completely premature.
The decision to shut down all the sales terminals was taken to prevent the ransomware from spreading over the entire computer network that manages ticket offices and self-services, but also those in the company offices with the consequent disservice for the traveling staff and the one present on station platforms.
At the moment the IT technicians of the Ferrovie dello Stato (FS) are carrying out further checks within the IT networks with the help of the Postal Police.
FS in a statement stated that
“As a precaution, some users of Trenitalia’s physical sales systems have been deactivated. It is currently not possible to purchase travel tickets at the ticket offices and self-service stations in the stations, while it is possible to do so through online sales”.
The note from the FS continues by explaining that it is currently possible that some delays may also occur on the reservations of the services of the Blue Rooms of RFI for this reason travelers are allowed to board the trains and present themselves to the conductor to purchase the ticket without the surcharge. FS would like to point out that the hacker attack is not having any effect on normal railway traffic.
AGGIORNAMENTO 23.03.2022 ore 22:30
Il blocco della rete IT che controlla le biglietterie e i self service delle stazioni ferroviare italiane è opera del gruppo ransomware HiveLeaks, questo è quanto emerge da un recente articolo del Corriere della Sera.
Dagli screen shot della chat pubblicati sul sito online del giornale, si possono leggere i messaggi del gruppo ransomware con la richiesta di un riscatto di 5 milioni di dollari in bitcoin per la decrittazione dei file, il pagamento devrà essere ultimato – si legge – entro 72 ore. Dopo tale termine il prezzo del riscatto verrà raddoppiato.
La decrittazione dei file, scrive Hive in un messaggio, avverrà solo quando RFI avrà caricato in una sezione della chat di un file con estensione .key presente, solitamente, in C:\ o nella root “shared fiolder”.
Secondo un portavoce di RFI (Rete Ferroviaria Italia) nessuna richiesta di riscatto sarebbe arrivata da parte di cybercriminali.

Dalle prime ore di questa mattina la rete che controlla le biglietterie e i self service è stata spenta in via precauzionale, nessun disagio per i viaggiatori che decidono di acquistare i propri biglietti attraverso la piattaforma online.
Dietro l’attacco informatico di tipo ransomware si nasconderebbe un gruppo hacker russo, questo almeno sembrerebbe dopo i primi accertamenti eseguiti dai tecnici informatici, anche se fare ora questa ipotesi sembra del tutto prematuro.
La decisione di far spegnere tutti i terminali di vendita è stata intrapresa per evitare che il ransomware si propagasse su tutta la rete informatica che gestisce biglietterie e self service, ma anche quelli negli uffici dell’azienda con il conseguente disservizio per il personale viaggiante e quello presente sulle banchine delle stazioni.
Al momento i tecnici informatici delle Ferrovie di Stato (FS) stanno eseguendo ulteriori controlli all’interno delle reti IT con l’aiuto della Polizia Postale.
FS in una nota ha affermato che
“In via precauzionale sono state disattivate alcune utenze dei sistemi fisici di vendita di Trenitalia. Non è al momento possibile acquistare titoli di viaggio nelle biglietterie e nei self service presenti nelle stazioni, mentre è possibile farlo attraverso la vendita onilne”.
La nota delle FS prosegue spiegando che attualmente è possibile che alcuni rallentamenti possano verificarsi anche sulle prenotazioni dei servizi delle Sale blu di RFI per questo i viaggiatori sono autorizzati a salire a bordo dei treni e presentarsi al capotreno per effettuare l’acquisto del biglietto senza il sovraprezzo. FS tiene a precisare che l’attacco hacker non sta avendo in alcun modo effetto sulla normale circolazione ferroviaria.