Hanno nomi che sembrano usciti direttamente da un poliziesco mal riuscito (REvil, DarkSide, Wizard Spider, Astro); non si ha idea di chi le componga o quale sia l’identità celata dietro strani nickname; hanno il loro quartier generale in Paesi poco collaborativi con le indagini internazionali e, soprattutto, non hanno alcuno scrupolo. Sono le ransomware gang e stanno mettendo a ferro e fuoco i sistemi informatici di mezzo mondo.
Attaccano senza remore multinazionali, piccole aziende, comuni, compagnie assicurative, aeroporti, università, istituzioni e ospedali paralizzandone computer, server, backup e tutto ciò che è connesso ad internet.
L’ICEBERG
Il caso della Regione Lazio, che pure smentisce qualunque richiesta economica, in pratica è solo la punta dell’iceberg. L’operatività di queste bande di cyber criminali è esplosa dall’inizio della pandemia. Al punto che per i ricercatori dell’azienda di sicurezza Blackfog, i danni causati da questo genere di attacchi raggiungerà entro fine anno il valore di 6 trilioni di dollari, l’equivalente del Recovery plan degli Stati Uniti. E sono proprio gli Usa il Paese più colpito da questi hacker specializzati. A giugno, il produttore di carne JBS, che alleva e macella oltre un quinto di tutta la carne bovina consumata dagli statunitensi, ha pagato un riscatto di circa 9 milioni di euro.
Nello stesso mese il più grande gasdotto del Paese, il Colonial Pipeline, ha pagato 3,6 milioni di euro per riottenere il possesso dei sistemi dell’azienda dopo che per giorni l’intera costa orientale a stelle e strisce era rimasta paralizzata dalla carenza di carburante. Qualunque azienda connessa è vulnerabile, anche se punti deboli sono considerate le imprese di medie dimensioni perché hanno entrate sufficienti per renderle un obiettivo redditizio ma non abbastanza grandi da avere team dedicati alla sicurezza informatica.
PROFESSIONISTI
Dietro questi attacchi ci sono professionisti, non sempre affiliati, che si coordinano per identificare gli obiettivi, infiltrarsi nelle reti ed estorcere informazioni preziose. Ma al centro di tutto ci sono le ransomaware gang appunto, che costruiscono e gestiscono il software malevolo che rende possibili gli attacchi. Alcuni usano questo malware per estorcere le vittime, mentre altri offrono ransomware-as-a-service (RaaS), aiutando altri criminali a prendere di mira organizzazioni specifiche.
La Russia è considerato il quartier generale più importante, ma negli anni attacchi di questo tipo sono stati identificati come riconducibili a cyber criminali di base in Cina, Iran, Est Europa e Corea del Nord. Le tracce più consistenti portano a San Pietroburgo e Mosca. Non a caso il cirillico, l’alfabeto russo, è comunemente usato nei forum in cui i ransomware si trovano in vendita o anche nei codici sorgente che strutturano il software (alcuni dei quali codificati proprio per non attaccare in Russia). Anzi, secondo diversi esperti, questi attacchi sono tollerate dal governo russo.
Cyber security: le osservazioni del CNR
Non può essere solo un caso se a fine luglio i due gruppi più importanti protagonisti degli attacchi negli Usa, REvil e DarkSide, sono scomparsi. Addirittura hanno abbandonato al loro destino aziende con cui stavano trattando richieste di riscatto. E lo hanno fatto pochi giorni dopo il 9 luglio, cioè quando il presidente degli Stati Uniti Joe Biden, in un colloquio telefonico durato un’ora con Vladimir Putin ha alzato la voce: «Prenderemo tutte le misure necessarie per difendere da questa continua minaccia il popolo americano». Dieci giorni e dei due gruppi, pure molto sfacciati nel pubblicizzarsi, non c’è più traccia. O meglio, per qualcuno gli ex membri sarebbero già operativi, riuniti sotto una nuova bandiera apparsa sul Dark Web negli ultimi giorni di luglio: Black Matter. Un gruppo da cui gli esperti si aspettavano un primo imponente attacco.