Gli hacker, il riscatto da pagare e i dati a rischio

La nuova stagione dei sequestri

«Decisione molto controversa. Non l’ho presa alla leggera. Non mi sentivo a mio agio a consegnare soldi a persone come queste». Sembrano le parole con cui Tito Melis confessò di aver pagato il riscatto per la figlia Silvia. Ma a parlare è l’ad dell’oleodotto americano Colonial Pipeline (e la cifra è in bitcoin).

Quando questo articolo è stato scritto per «7», non era ancora avvenuto il blocco dei dati della Regione Lazio. Quanto accaduto conferma l’attualità del problema che da tempo colpisce anche l’Italia

«So che è una decisione molto controversa. Non l’ho presa alla leggera. Devo ammettere che non mi sentivo a mio agio a consegnare soldi a persone come queste, ma era la cosa giusta da fare».

Sembrano le parole con cui Tito Melis confessò, nel 1997 al Corriere della Sera, di aver pagato un miliardo e 400 milioni di lire di riscatto per la figlia Silvia. Rapita nel febbraio di quell’anno, l’imprenditrice 27enne era stata liberata nove mesi dopo, al termine, si scoprirà, di una drammatica e intricata trattativa tra preti, giornalisti, massoni, con miliardi evaporati. Ma no, non è Melis a parlare, bensì Joseph Blount, amministratore delegato dell’oleodotto americano Colonial Pipeline, e sono passati 24 anni. Al Wall Street Journal, Blount ha detto di avere accettato di pagare 4,4 milioni di dollari perché non aveva altra scelta: mettere mano al portafoglio, in bitcoin, era l’unico modo per sbloccare i sistemi di una delle spine dorsali del trasporto di carburanti negli Stati Uniti.

Melis e Blount non potrebbero avere storie più diverse, ma sono accomunati da un particolare: si sono arresi a pagare un riscatto.

Nel ‘97, in Sardegna, a Tortolì, gli aguzzini erano i rapitori di Silvia Melis. Nel 2021 sono gli hacker, che in questo caso avevano sferrato un attacco ransomware (attacco con richiesta di riscatto; ndr) all’infrastruttura di Colonial Pipeline, bloccando e rendendo inaccessibili dati e contenuti tramite l’installazione di un software malevolo.

Melis e Blount sono fra i simboli di due epoche ben definite e circoscritte.

L’era del sequestro di dati

Quella dei sequestri di persona, che in Italia ebbe il suo picco fra la metà degli anni Settanta e la metà degli Ottanta — con il rapimento di 489 persone — per poi iniziare il suo declino nei Novanta. E quella che stiamo vivendo, fotografata da una ricerca di Sophos: negli ultimi 12 mesi il 37 per cento delle aziende è stato vittima di un attacco ransomware, l’anno prima era il 51%.

Secondo Chainalysis, nel 2020 il valore dei pagamenti in riscatti è aumentato del 341%. E i prezzi delle assicurazioni cyber si impennano: fino al 30% per almeno la metà degli acquirenti a fine 2020, dice l’ufficio contabilità del governo americano (Gao). Anche la cronaca recente relativa ai cyberattacchi, non solo ransomware, è spietata: dal già citato caso di Colonial Pipeline alla — sempre gli Stati Uniti — texana SolarWinds, “bucata” per colpire centinaia di migliaia fra agenzie governative e società private, e al software di posta elettronica Microsoft Exchange Server, che sarebbe stato preso di mira da hacker cinesi. Vicino a noi sono state ricattate Campari, Enel e Luxottica, solo per citarne alcune.

Il Covid ha fatto il suo (cattivo) mestiere anche in questo campo con l’offensiva all’Agenzia europea del farmaco che aveva nel mirino anche il materiale sul vaccino Pfizer. E se nel 1998 il Comitato per i sequestri di persona scriveva al Parlamento che «sequestrare una persona per ottenere dai suoi familiari il pagamento di un congruo riscatto in danaro è un’azione che coinvolge più individui, implica la partecipazione di più persone, una divisione di compiti, una vera e propria organizzazione», anche oggi siamo ben lontani dall’immaginario collettivo dell’hacker in felpa chiuso nella sua stanzetta.

Il riscatto e la doppia minaccia

«Gli attaccanti sono sempre più aggressivi: non è gente con il cappuccio, sono aziende con un modello di business» spiega Carlo Mauceli, national digital officer di Microsoft Italia. Secondo Carola Frediani, cybersecurity engagement manager di Amnesty International e fondatrice di Guerre di Rete, «quella che è andata maturando è l’organizzazione di un’economia cybercriminale di cui sappiamo sempre troppo poco e che è probabilmente alla radice dell’attuale boom. Negli ultimi anni, diciamo da fine 2018, le gang si sono rivolte al cosiddetto big game hunting, alla caccia grossa, prendendo di mira grandi aziende e organizzazioni, e chiedendo riscatti più elevati». Nella maggior parte dei casi pagare è l’unica opzione possibile, anche perché la minaccia può essere doppia: non ti restituisco l’accesso ai dati, e se non paghi li rendo pubblici.

«Gli algoritmi crittografici che vengono utilizzati sono praticamente inviolabili, quei pochi che non lo sono necessiterebbero mesi e mesi di lavoro per decodificare i file, che un’azienda che deve riprendere a lavorare non ha», dice Riccardo Meggiato, consulente di cybersicurezza e informatica forense, sottolineando come l’unica arma di difesa preventiva sia un sistema di backup molto efficace e che si aggiorni continuamente.

Dalla loro, le aziende colpite non hanno sulla testa la spada di Damocle del congelamento dei beni, come spiega l’avvocato esperto di diritto delle tecnologie Ernesto Belisario: «Esiste una norma del 1991 relativa al blocco dei beni di congiunti e affini nel caso di sequestro di persona, che però non si applica alle richieste di riscatto per ransomware. Ci si può interrogare se ci siano eventuali ripercussioni giuridiche per chi paga il riscatto agli hacker. Ad esempio, può essere contestato il reato di favoreggiamento? A questa domanda, a mio avviso, va data risposta negativa, dal momento che il soggetto che paga il riscatto è, solitamente, la vittima dell’attacco. Se a pagare è una amministrazione pubblica, potrebbe essere contestato un danno erariale da parte della Corte dei conti».

Ma cosa si prova quando lo schermo si tinge di nero, i pc si bloccano e i criminali informatici dettano – per iscritto – le loro condizioni? «Si impreca», racconta Marco Galletti, l’ex amministratore di rete della Uisp di Reggio Emilia, comitato di promozione sportiva che nell’estate del 2019 si è visto bloccare dagli hacker tre terabyte di dati.

Un cosiddetto hacker bianco (buono) che preferisce non svelare il suo nome riconosce analogie con la drammaticità dei sequestri di persona: «Ho aiutato un imprenditore che era già sull’orlo del fallimento. Gli avevano chiesto 285 mila euro in bitcoin e lui fatturava mezzo milione di euro all’anno: proprio non li aveva. Mi ha chiamato alle undici di sera, piangendo. Ho passato la notte davanti al computer, sentendolo singhiozzare alle mie spalle, con gli occhi lucidi».

I negoziatiori

Il sito Cyberscoop ha da poco pubblicato trascrizioni di conversazioni di questo tenore: «La banca non mi concede alcun prestito perché siamo in bancarotta e io ti sto già dando i miei risparmi. Non mi resta più niente da fare. Per favore, fammi sapere» ha implorato una vittima del gruppo conosciuto come Egregor. Al lavoro, in quei febbrili momenti, possono esserci anche negoziatori di professione: «Spesso si tratta di persone che hanno fatto questo mestiere nell’Arma o in Polizia. Oltre a tenere dal punto di vista psicologico, mentre chiedono dilazioni del pagamento o una riduzione della cifra, devono essere consapevoli del fatto che gli attaccanti conoscono benissimo la situazione dell’azienda, sia dal punto di vista economico sia da quello infrastrutturale» dice Meggiato. Conferma Galletti: «Nel nostro caso l’importo richiesto cambiava in base alla macchina da cui ci collegavamo: per quella centrale, che avrebbe decrittato tutte le altre, era il triplo».

Com’è finita? «Non avevamo pagato perché avevamo un piano di disaster recovery e backup esterni, ma abbiamo dovuto riformattare 120 macchine e riconfigurare una decina di server lavorando incessantemente per tre settimane». Ostaggio liberato.

Fonte originale e ufficiale:  Corriere.it