K metro 0 – Milano – Nella prima metà del 2021 vi è stato un aumento vertiginoso dei cosiddetti ransomware attack, veri e propri attacchi informatici con richiesta di riscatto. Il totale dei riscatti pagati dalle vittime di queste cyberestorsioni ammonta a ben 18 miliardi di dollari. Un vero e proprio terremoto a livello globale che minaccia di crescere sempre più.

Gli hacker accedono al un sistema informatico, lo controllano e lo tengono “in ostaggio” finché non vengono lautamente pagati tramite un riscatto (ransom appunto). Addirittura in molti casi avvengono dei veri e propri countdown prima che la minaccia si realizzi ed è ben noto che i gruppi criminali più organizzati come Maze, Netwalker e Ryuk abbiano un listino prezzi e un reputation ranking sulla loro “serietà professionale” di mantenere o meno le loro minacce.

Uno degli ultimi casi è stato quello della Jbs, colosso brasiliano della lavorazione della carne, che è stata vittima di un attacco ransomware il 31 maggio e ha dichiarato di aver pagato 11 milioni di dollari di riscatto per tornare in possesso del suo sistema informatico.

I pagamenti di questi riscatti sono quasi sempre richiesti in bitcoin, la moneta virtuale del momento, più facile da fare scomparire in paradisi fiscali e difficilmente identificabile, transitando da un wallet all’altro con codici alfanumerici.

Il cybercrime secondo la previsione di Embroker, costerà ad aziende e privati nel 2021 la colossale cifra di 6000 miliardi di dollari e si stima che raddoppierà quasi nel 2025.

Tutta la nostra vita è ormai comandata da software e l’intera catena energetica e alimentare ne è completamente dipendente. I rischi dunque sono molteplici e potenzialmente enormi.

Tanto per fare un esempio recente, la stessa Ema, l’agenzia europea per la valutazione dei medicinali, che purtroppo abbiamo imparato meglio a conoscere negli ultimi anni, è stata vittima di un cyberattack.

Il fenomeno dunque preoccupa e non poco. Ne parliamo qui a Kmetro0 con Mirko Giordani, esperto di geopolitica ed intelligence strategica.

Intervista di Lucia Salucci

Dott. Giordani, cosa ne pensa di questo fenomeno e qual è lo scopo di questi attacchi?

A differenza di quello che accadeva diversi anni fa, ora non è più possibile trattare il problema dei cyber attacchi solo dal punto di vista tecnologico. Serve anche e soprattutto un approccio politico e geopolitico per poterli affrontare. Delle volte queste violazioni sono dei semplici attacchi DoS (Denial of Service) e consistono nel semplice sovraccarico intenzionale di un server per metterlo fuori uso. Si tratta di attacchi che fanno relativamente pochi danni e sono spesso portati avanti da gruppi di cyber hacktivisti, anche se a volte può esserci dietro una motivazione politica. Poi ci sono i ransomware, per cui dei cybercriminali “sequestrano” dei dati e chiedono un riscatto per poterli rilasciare. In questo caso particolare spesso e a malincuore le aziende pagano. Infine troviamo degli attacchi hacker con una chiara connotazione geopolitica. Dunque, come vedete, gli attacchi hacker hanno motivazioni e connotazioni molto diverse.

Esiste un probabile identikit del cybercriminale o si tratta di semplici criminali tecnologicamente molto preparati?

La questione è complessa, il mondo cyber non è né bianco né nero, è grigio. Gli hacker a volte sono semplicemente dei criminali, magari assoldati nel dark web (web non accessibile tramite i motori di ricerca convenzionale), che vogliono fare soldi facili.

Possono esserci i tipici “nerd” (secchioni) che in realtà lavorano sotto impulso di poteri governativi. Molto spesso, invece, abbiamo a che fare con vere e proprie organizzazioni criminali informatiche, se ne contano almeno una ventina a livello mondiale. Alcune di queste si occupano dello sviluppo del software di ransomware, che poi affittano ad altri criminali che lo utilizzano per ricattare altri, cedendo ai primi parte dei loro profitti. Una vera e propria filiera in cui il lavoro viene suddiviso tra più gruppi che si specializzano nelle diverse fasi della catena.

Se proprio vogliamo dare delle caratteristiche generali di un cybercriminale tipo possiamo indicare che in molti casi si tratta di uomini giovani provenienti dall’Est Europa o dall’Estremo Oriente, a volte facenti parte di vere e proprie famiglie criminali digitali.

Non sono rari i casi di diversi hacker che, una volta scoperti, sono stati poi assunti dalle loro stesse vittime, per il noto principio “se non puoi combattere il nemico, portalo dalla tua parte”, sistema a volte utilizzato dai governi.

Secondo lei dove potrebbero finire i soldi dei riscatti e per quali finalità potrebbero essere utilizzati?

I soldi dei riscatti spesso finiscono in conti offshore, difficilmente rintracciabili, o peggio ancora le operazioni vengono effettuate tramite criptovalute, ancora più inaccessibili.

Spesso e volentieri le transazioni sono richieste in Bitcoin, che rimane la moneta virtuale più utilizzata per traffici illeciti. Altre valute utilizzate nel dark web, ma ancora meno diffuse, sono Dash e Monero, che offrono ai criminali ancora più protezione della privacy.

Quando non sono finalizzati all’arricchimento personale, i soldi dei riscatti potrebbero venire utilizzati per finalità criminali, per sostenere gruppi e movimenti politici e terroristici o per traffici illeciti, a seconda del movente, della portata dell’attacco e del gruppo che lo controlla.

Che tipo di risposta stanno adottando i governi per contrastare la cybercriminalità?

I governi mondiali stanno sempre di più correndo ai ripari, capendo che la cyber security non può essere un settore appannaggio dei privati. Un attacco hacker ad un’importante azienda nazionale è un attacco strategico al sistema paese e la risposta e la difesa devono essere governative. Per questo sempre più Stati, Italia in primis, si stanno dotando di agenzie per la cyber security nazionali.

Il capo dell’agenzia francese per la sicurezza informatica ha chiesto alle vittime degli attacchi di non pagare riscatti. Lei concorda con questa strategia?

Tutto dipende dalle leggi dello Stato in questione. Ci sono Stati, come ad esempio gli USA, che nelle negoziazioni coi criminali in generale difficilmente pagano. Alcuni Paesi, invece, sono più disponibili a pagare. Basterebbe vedere le policy nazionali sui rapimenti per capire come si potrebbero comportare gli Stati di fronte ad un ransomware.

Cosa ci possiamo aspettare da qui ai prossimi anni in questo settore?

Le crepe ci saranno sempre e la prospettiva migliore è sempre la stessa, quella del risk management: aspettarsi sempre il peggio e prepararsi di conseguenza. Ad esempio, c’è la possibilità che un attacco hacker stoppi le attività di un ospedale? Si, c’è e quindi uno Stato bisogna che si prepari all’evenienza. Come rispondere sarà un problema che si dovrà porre la politica.

In conclusione per questo tipo di attacchi informatici il semplice antivirus è ormai obsoleto e bisogna affidarsi a tecnologie sempre più moderne e continuamente aggiornate basate su algoritmi di intelligenza artificiale. Altrettanto vale per il fattore umano che è considerato il punto debole dell’intera catena e che deve essere sempre più formato e attento.

La cooperazione internazionale in materia, la punizione degli Stati che offrono protezione ai cybercriminali e la regolamentazione dei mercati di cryptovalute sarebbero sicuramente un buon inizio per affrontare il problema. Proprio per questo il presidente Biden il 12 maggio ha iniziato una campagna di intelligence contro il ransomware firmando un ordine esecutivo in merito. L’Italia, dal canto suo, sta facendo i conti con una notevole arretratezza strutturale in termini di sicurezza che andrà colmata al più presto onde evitare di lasciare le nostre aziende, i nostri dati, i nostri investimenti e le nostre vite in balìa di pirati informatici.