Attacchi hacker e furti dati: riscatti per milioni in bitcoin. Come funziona e le aziende che hanno pagato

articolo completo su corriere.it

Il cybercriminale conosce il tuo punto debole, e lo trova. L’attacco parte di notte, spesso prima di un giorno festivo. I sistemi difensivi di un’azienda vengono «bypassati», l’incursore penetra nei server e paralizza il sistema informativo, prelevando informazioni segrete e rilevanti. Il criminale è giovane, maschio, dell’Est Europa o dell’Estremo oriente, tecnicamente molto specializzato, quasi sempre fa parte di un’organizzazione, talvolta è assoldato sul dark web. E la mattina è come se l’azienda fosse senza ossigeno, i danni al ciclo industriale e commerciale sono immediati. Sui computer compare un messaggio: dacci i soldi e in cambio sblocchiamo i Pc. I gruppi criminali più strutturati hanno un sito Internet dove pubblicano il countdown prima che avvenga la pubblicazione dei dati trafugati. Ma che si fa? Si tratta con chi ti tiene in ostaggio? Si paga alimentando il business fuorilegge? E se poi dati e credenziali non verranno restituiti? La denuncia immediata è l’assist migliore per la Polizia Postale e l’autorità giudiziaria.

Reputazione criminale e listino prezzi

È un mondo di delinquenti evoluti che fanno marketing di se stessi. Esiste infatti un ranking reputazionale delle organizzazioni di cybercriminali, da esse stesse alimentato: serve a garantire della loro «serietà» le aziende o le organizzazioni attaccate. Ti dicono, insomma, se mantengono le promesse in un senso (pubblicando o vendendo i dati sensibili se non vengono pagati) o nell’altro (sbloccando e non diffondendo i dati dopo aver incassato). Al ranking corrisponde anche un listino prezzi: il riscatto medio richiesto dal gruppo hacker Maze nel primo semestre 2020 è pari a 420.000 dollari, mentre Ryuk e Netwalker si attestano rispettivamente sui 282.590 e 176.190 dollari.

Sono le «famiglie» della mafia digitale che, come quella tradizionale, chiede il pizzo. Se volete vedere in faccia i cyber criminali (quei pochi identificati) andate sul sito «most wanted» dell’Fbi, c’è anche un ragazzo di 19 anni, iraniano, Behzad Mohammadzadeh, alias Mrb3hz4d.

Bitcoin, la valuta della «mala»

Sempre di più il prezzo dell’estorsione è richiesto in bitcoin, che vengono acquistati sulle piattaforme di vendita, poi entrano in un portafoglio elettronico e vengono versati all’indirizzo indicato dall’estorsore (un codice di 27 caratteri alfanumerici); da lì transitano spacchettati da un wallet all’altro, scomparendo in paradisi fiscali come Hong Kong, Singapore o le gettonatissime Seychelles e Maldive. Solo quando il bitcoin viene trasformato in denaro reale c’è qualche possibilità di identificare l’estorsore, ma poi devi fare i conti con i Paesi off shore che quasi mai collaborano con le autorità giudiziarie. Ma questa moneta virtuale potrebbe non emergere mai, visto che sta diventando un mezzo di pagamento. Per esempio Elon Musk ha appena annunciato l’acquisto di 1,5 miliardi di dollari in bitcoin, sdoganandoli come forma di pagamento per acquistare le Tesla. Inoltre nel dark web, dove i dati aziendali hanno sempre più un mercato insieme ad armi, droga ecc, è in continua crescita anche la criptovaluta Monero, preferita dalle cybergang rispetto al bitcoin perché è ancor meno tracciabile.

L’impatto sull’economia

Solo il Covid sta facendo più danni all’economia della criminalità informatica. Il cybercrime, soprattutto quello degli attacchi mirati con richiesta di riscatto, è in spaventosa crescita nutrendosi delle sue due principali caratteristiche: è apolide e chi lo subisce tende a non denunciarlo. Lo si «pratica» ovunque: comodamente seduti davanti a un computer bevendo una birretta, magari in una stalla delle campagne bulgare provvisoriamente attrezzata come una piccola Nasa (è successo). Così hanno attaccato la Campari chiedendo 16 milioni, due volte l’ Enel (14 milioni), la Bonfiglioli di Bologna (2,4 milioni), Luxottica, Piaggio, Nova Biomedical, Gefco Group, Geox, Garmin, Ho Mobile, il Comune di Rieti (500 mila), Tiscali, Irbm di Pomezia, l’Ema-Agenzia europea per la valutazione dei medicinali, solo per citare qualche caso recente e vicino a noi. Secondo la Yarix, divisione di Var Group (396 milioni di fatturato), che con i suoi esperti di cyber intelligence ha fatto emergere il caso Ema-Pfizer, anche in Italia come nel resto del mondo la qualità degli attacchi è in rapida trasformazione verso il «Big game hunting»: caccia alle prede più grosse e meno «pesca a strascico». Questo porta a una corsa al rialzo dei riscatti. E una vittima su quattro paga sull’unghia anziché denunciare, temendo danni alla reputazione che però sarebbe molto più pericolosamente messa a rischio se emergesse l’«accordo» con gli estorsori.

Il prezzo aumenta

«I rischi e gli effetti del cyber crimine sono sottovalutati – afferma Eugenio Fusco, procuratore aggiunto che coordina il pool reati informatici alla Procura di Milano –, ma hanno un impatto dirompente sull’economia. Tra l’altro dai dati ufficiali sfugge un numero decisamente elevato di casi mai denunciati alle autorità». Secondo Coveware, società specializzata nella gestione di incidenti da ransomware (virus che blocca i computer per realizzare l’estorsione), il riscatto medio richiesto dai gruppi cybercrime è aumentato del 47% tra il primo e il secondo semestre del 2020. Gli investigatori hanno mezzi poco adeguati per affrontare questo nuovo nemico transnazionale. Il fattore tempo è fondamentale per cristallizzare dati, accessi informatici, flussi finanziari che toccano quasi sempre molte giurisdizioni in mezzo mondo. È come correre i 100 metri vestiti da astronauta contro un avversario partito in anticipo con scarpette e calzoncini.

I rischi e gli effetti del cyber crimine sono sottovalutati, ma hanno un impatto dirompente sull’economia

L’efficacia della denuncia immediata

«La velocità di reazione è fondamentale» sostiene Nunzia Ciardi, capo della Polizia Postale. Quando arriva la notizia di reato «l’indagine di solito prende due direzioni: la prima a ritroso per gli accertamenti informatici – spiega Cristian Barilli, pm del pool reati informatici di Milano –, la seconda va all’inseguimento delle criptovalute, se pagate, o dell’estorsore quando è in fase di trattativa. La lentezza in questo tipo di indagini è letale». Da inseguire ci sono soggetti esperti nella gestione delle criptovalute e abilissimi nelle tecniche informatiche per rendersi anonimi. Nelle inchieste viene spesso contestata anche l’associazione per delinquere a soggetti che magari tra loro non si sono mai visti, ma che «si comportano come sodali, svolgendo ciascuno il proprio compito e rispettando rigide regole associative, in modo da perseguire più efficacemente l’illecito fine comune, proprio come avviene nella criminalità organizzata – spiega Fusco –. Di sicuro servono strumenti legislativi più coerenti con la rapidissima evoluzione della criminalità informatica transnazionale». In sostanza occorrono norme che obblighino le piattaforme di compra vendita di criptovaluta a rendere trasparente la loro attività, come per gli intermediari finanziari.

Come proteggersi

L’Italia è piuttosto vulnerabile. Nella classifica delle nazioni europee per grado di esposizione al rischio siamo al 14esimo posto secondo i dati 2020 di Passwordmanager, società internazionale specializzata in protezione password.

Nel 2020, secondo le rilevazioni statistiche della Polizia Postale, gli attacchi contro le infrastrutture critiche (danneggiamento, interruzione del servizio, furto dei dati a scopo estorsivo) sono cresciuti del 246% con un +78% delle persone indagate. «La vulnerabilità delle aziende e delle istituzioni – dice Nunzia Ciardi – nasce dal fatto che gli investimenti in cybersicurezza vengono percepiti solo come un costo, salvo correre ai ripari solo dopo aver ricevuto un attacco informatico, e con conseguenze economiche ben più rilevanti».

Il dark web, terreno dei cybercriminali

Le modalità con cui si struttura un attacco non sono sempre lineari. Ci sono gang organizzate per rubare informazioni, per esempio password, o profilare le vittime e di solito chi fa questo mestiere non è poi chi esegue l’attacco. Le credenziali e i dati trafugati vengono pubblicati e messi in vendita nel dark web, dove sarà poi la gang specializzata nell’attacco ad acquistarle. «È nel loro terreno di gioco che bisogna andare, attivando un monitoraggio costante – spiega Mirko Gatto, amministratore delegato di Yarix – perché se ci inseriamo in una negoziazione intercettando le credenziali in vendita nel dark web, posso da una parte bloccare la transazione e dall’altra preavvertire l’azienda di un possibile attacco, sventandolo».

articolo completo su corriere.it

Condividi su facebook
Facebook
Condividi su twitter
Twitter
Condividi su linkedin
LinkedIn

Altri articoli