Un pandemia peggiore, forse, di quella del Covid. Gli attacchi informatici si moltiplicano di pari passo con i progressi della digitalizzazione di aziende private e pubblica amministrazione, infettano i gangli vitali in modo irreparabile, fanno strage di dati per poi rivenderli sul mercato nero del Web. Gli hacker sono la nuova mafia, individuano le strutture scoperte perché poco aggiornate, e dopo averle paralizzate e aver trafugato le informazioni sensibili chiedono il riscatto. Nell’ultimo attacco, quello del primo fine settimana di febbraio, l’Agenzia per la cybersicurezza nazionale (Acn) ha segnalato un’offensiva informatica a danno di decine di sistemi, in Italia e in un centinaio di altri paesi, dalla Francia (il più colpito) al Canada e agli Stati Uniti. La strategia usata è quella ransomware, cioè si utilizza un tipo di programma che, una volta installato in un sistema, lo rende inaccessibile al legittimo proprietario. I criminali informatici hanno dato tre giorni di tempo per versare il riscatto di 2 bitcoin, circa 42.000 euro al cambio attuale.
Sono stati presi di mira i server di Vmware Esxi, un servizio molto diffuso di virtualizzazione che consente a un’azienda di sfruttare un unico server risparmiando sui costi. Gli hacker avrebbero sfruttato un punto debole di tale sistema, peraltro già segnalato nel febbraio 2021 e per il quale era stato fornito un aggiornamento. Chi non ha fatto ricorso a questo scudo è diventato vulnerabile. Palazzo Chigi, per descrivere la situazione, ha fatto un confronto con la pandemia: «È come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a un’opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute per chi non l’ha fatto».
Come per la pandemia si è fatto ricorso al lockdown, c’è forse il rischio che anche l’uso dei pc sia ridotto per evitare la diffusione dei virus informatici? Gli esperti scuotono la testa: la digitalizzazione è in uno stadio così avanzato che sarebbe come frenare un treno in corsa ad alta velocità. Resta il fatto che chi lavora con i computer è in balia di due industrie molto ricche: quella dei ricatti informatici e quella di chi assiste le vittime.
Secondo l’ultimo rapporto di Clusit, l’Associazione italiana per la sicurezza informatica, nei primi sei mesi del 2022 sono stati 1.141 gli attacchi cyber gravi, con un impatto su diversi aspetti della società, della politica e dell’economia: una crescita dell’8,4% rispetto al primo semestre 2021, per una media complessiva di 190 incursioni al mese, in pratica uno ogni quattro ore, con un picco di 225 a marzo 2022 (conseguenza dell’invasione russa dell’Ucraina), il valore più alto mai verificato. La guerra di Mosca ha determinato anche un boom dei cyber attacchi riconducibili alle categorie «hacktivism», cresciuti del 414%, e «information warfare» (+119%), con diversi gruppi hacker a supporto delle fazioni in guerra. Per lo stesso motivo, rispetto al primo semestre del 2021, sono aumentati del 62% anche i colpi con finalità di spionaggio. I cyber attacchi gravi con effetti «molto importanti» sono stati il 44% del totale, mentre quelli con impatto «critico» arrivano a rappresentare un terzo: in tutto, il 78% del totale. Le operazioni criminali effettuate attraverso malware, pur registrando una flessione del 4,6% rispetto allo stesso periodo dell’anno precedente, rappresentano il 38% del totale. Le tecniche sconosciute sono al secondo posto, con un +10% rispetto al primo semestre 2021.
Particolarmente intensa l’attività in estate: nell’agosto 2021, furono bloccati i sistemi di prenotazione per i vaccini Covid della Regione Lazio, poi toccò alle biglietterie di Trenitalia e ai server Gse, la società che gestisce i servizi energetici nel nostro Paese, nel mezzo della crisi del gas. Le offensive del 4-5 febbraio scorsi sarebbero riconducibili a criminali informatici, con scopo essenzialmente economico. Il direttore dell’Acn, Roberto Baldoni, ha ricordato che in Italia si registrano ormai tre milioni di attacchi cyber ogni giorno, destinati ad aumentare in quantità e complessità.
Intanto il mercato della sicurezza informatica galoppa. Il fondatore di Cybersecurity ventures, Steve Morgan, stima che entro il 2025 la spesa globale per prodotti e servizi relativi alla cybersecurity arriverà a 1,75 trilioni di dollari. Nel 2004, il settore valeva solo 3,5 miliardi di dollari. Nel 2021, in piena pandemia, il colosso degli antivirus McAfee è stato acquisito da un gruppo di investitori per 14 miliardi di dollari. L’altro big, Norton, ha generato nel 2020 un fatturato di 2,49 miliardi. Il danno globale che il crimine informatico causa alle aziende è stimato in oltre 4 miliardi di dollari all’anno. La performance di alcune società anche giovani focalizzate sulla sicurezza informatica dà la misura della ricchezza di questo mercato. Sentinel One, società americana di cybersecurity nata nel 2013, quotata a Wall Street, nell’ultimo trimestre ha registrato un aumento del 106% del fatturato rispetto all’anno precedente, raggiungendo 115,3 milioni di dollari, mentre il numero di clienti è aumentato del 55%. Si stima che in tutto il mondo siano stati rilevati 23.000 diversi rischi informatici.
Vari sondaggi effettuati in tutto il mondo mostrano che ben più della metà degli utenti è consapevole dei pericoli e preoccupata per la propria sicurezza online. Al contempo, si stima che un quarto dei computer non sono protetti con software antivirus, esponendosi a una probabilità media di infezione 5,5 volte maggiore. Si stanno diffondendo anche gli attacchi agli smartphone. Il mercato globale dei software di sicurezza per dispositivi mobili ha un giro d’affari di circa 3,4 miliardi di dollari. Si stima che 1,3 miliardi di smartphone abbiano installato un software di sicurezza di qualche genere, una cifra quadruplicata rispetto a cinque anni fa. Anche in ambito aziendale non sono rimasti fermi. Il 42% delle imprese ha sviluppato strategie contro le minacce dirette ai dispositivi mobili. Inoltre, il tema della sicurezza è citato come la ragione principale per fornire uno smartphone aziendale ai propri dipendenti. La spesa globale per programmi antivirus destinati al cloud computing ha raggiunto il miliardo di dollari.
Altro ambito di applicazione della tecnologia è quello dei veicoli intelligenti: si sta diffondendo anche l’hackeraggio di un mezzo, persino in movimento. Il mercato degli antivirus per il settore automobilistico è stato stimato in 713 milioni di dollari nel 2020.
«Dipendiamo tutti dal Web e siamo un bersaglio facile»
«Prima di tutto un chiarimento: dieci giorni fa sono stati colpiti sistemi non aggiornati da almeno due anni e che non dovrebbero essere esposti in Internet. Ciò non toglie che gli attacchi informatici stiano crescendo in modo esponenziale di pari passo con la crescente penetrazione tecnologica nella nostra società. Tornare indietro, ponendo un limite all’utilizzo degli strumenti informatici e ipotizzando una sorta di lockdown per arginare gli attacchi, è impossibile. Aziende e organizzazioni oggi sono completamente dipendenti dall’informatizzazione dei loro processi». Lo dice Pierluigi Paganini, esperto di cyber security.
Come fanno gli hacker a sapere quali aziende sono prive di protezione? Come si sviluppa un codice per sfruttare una vulnerabilità?
«Partiamo dalla seconda domanda. Quando viene rilasciato un aggiornamento software, questo è analizzato dagli esperti di sicurezza informatica così come da malintenzionati che sono in grado di scoprire le falle risolte. Attraverso un processo noto come “reverse engineering”, si può scrivere un codice per attaccare sistemi non aggiornati e mettersi alla ricerca sul Web di sistemi non aggiornati e per questo ancora vulnerabili».
Come si individuano i software non aggiornati?
«Esistono strumenti che consentono di scansionare su Internet i sistemi vulnerabili, una sorta di pesca a strascico».
Se l’aggiornamento è indispensabile alla sicurezza, significa che su questo settore c’è un business importante?
«Gli aggiornamenti sono una componente essenziale dei ciclo di vita del software. Consentono ai sistemi di evolversi nel tempo ponendo rimedio a eventuali malfunzionamenti e falle di sicurezza. Nel tempo si possono scoprire nuove vulnerabilità, possono emergere nuove strategie di attacco ai sistema, e gli aggiornamenti ci consentono di proteggere i sistemi dalle nuove insidie».
E gli antivirus?
«Il mercato degli antivirus, più in generale delle soluzioni di sicurezza, è in continua crescita proprio in relazione all’aumentata esposizione delle nostre tecnologie ad attacchi di varia natura. È un settore fiorente che può solo crescere. Si parla di centinaia di miliardi di dollari l’anno. Cifre sbalorditive».
Si può parlare di mafia informatica?
«Sì, se intendiamo gruppi dediti ad attività estorsive che minacciano le vittime chiedendo riscatti per interrompere gli attacchi. L’attività estorsiva per eccellenza è legata ai ransomware, codici malevoli che cifrano i file e vengono sbloccati solo dopo il pagamento di quanto chiesto. Negli scorsi anni sono stati chiesti riscatti fino a 50 milioni di euro. Sono molto diffuse anche le minacce di divulgare informazioni sensibili».
Qualcuna di queste gang del Web viene acciuffata?
«I successi delle forze di polizia sono aumentati negli anni. È fondamentale la collaborazione di apparati di diversi Stati. Le condanne vanno da pochi anni a una decina di anni. Le gang più attive sono originarie dell’Est Europa e della Russia. In passato molti gruppi erano composti da esperti informatici ucraini, russi e rumeni. Diverse gang criminali avevano contatti diretti con lo Stato russo e in cambio di una sorta di immunità non attaccavano i sistemi digitali sovietici».
Quali sono i settori che fanno più gola agli hacker?
«Indubbiamente la sanità, la finanza e il retail. Colpiscono l’e-commerce per impossessarsi dei dati di pagamento e realizzare frodi finanziarie. I dati sanitari fanno gola per frodi di vario tipo, a cominciare dal furto di identità e hanno un ricco mercato».
La digitalizzazione è quindi una trappola?
«Tutt’altro. I vantaggi sono immensi, ma c’è anche il rovescio della medaglia. La criminalità è pronta ad approfittare della scarsa consapevolezza delle minacce informatiche da parte di aziende e pubblica amministrazione».
«Su Internet corre la nuova mafia»
«Non esiste più l’hacker singolo che smanetta sul Web. Ora operano gruppi informatici della malavita molto ben organizzati per singole specificità. Dominano il dark Web, dettano le regole e sono in grado di individuare le aziende o le istituzioni più vulnerabili. Anche se la protezione contro le incursioni degli hacker è costosa, quello che si rischia in caso di attacchi informatici è molto più oneroso». Diego Marson è esperto in sistemi di sicurezza per la Yarix, uno dei maggiori operatori del settore della security.
Come può proteggersi un’azienda dai pirati informatici?
«Bisogna agire su più fronti. La malavita non colpisce solo le grandi realtà. Anche le piccole e medie imprese sono nel mirino, perfino il singolo utente. Tutti coloro che operano sul digitale dovrebbero investire sulla sicurezza. Innanzitutto bisogna aggiornare costantemente i sistemi, appena la casa madre rilascia le patch di sicurezza. Inoltre bisogna essere certi di non esporre all’esterno i propri sistemi informatici. L’ultimo attacco nasce proprio dalla mancanza di attenzione su questi due fronti. È stata una leggerezza perché l’aggiornamento di quel sistema era disponibile dal 2021».
Come agiscono gli hacker?
«Ci sono più organizzazioni specializzate. Alcune ricercano sistemi vulnerabili e li mettono sul mercato della Rete, oppure una volta individuata una crepa nel sistema se ne servono per entrare nell’azienda. Di solito utilizzano la strategia del mail phishing, con cui simulano la condivisione di un file per catturare le credenziali di un utente. Queste informazioni vengono rivendute sul black market. Gli acquirenti faranno partire l’attacco all’azienda per chiedere un riscatto. Ci sono più soggetti in gioco. Guida le operazioni una sorta di cupola».
Come quella della mafia?
«In un certo senso. Chi attacca un’azienda fa parte di una organizzazione più ampia che fornisce gli strumenti per mandare a buon fine l’operazione. Quando viene bloccato un sistema informatico, l’hacker può mettere sotto pressione la vittima affinché paghi il riscatto o può rivendere sul Web i dati rubati».
Come si paga il riscatto?
«Noi sconsigliamo di intraprendere questa strada per evitare di alimentare il mercato del malaffare, ma anche perché non è affatto sicuro che gli hacker mollino la presa. Potrebbero trattenere alcune informazioni, anche se le grandi gang tengono molto alla reputazione sul Web e a rispettare gli impegni presi. Una sorta di codice d’onore della malavita informatica. Chi comunque decide di cedere al ricatto o si rivolge a un intermediario o agisce per proprio conto acquistando le criptomonete».
I broker sono legali?
«Sì, anche se prima della guerra in Ucraina godevano di più libertà. Ora sono sottoposti a regole di sorveglianza più stringenti. Non ho notizia di figure simili in Italia».
Quanto costa affidarsi a un broker?
«Di solito l’intermediario applica una percentuale sul valore della transazione, o contratta una quota fissa».
Ci sono gang che chiedono il pizzo per proteggere da attacchi?
«Le organizzazioni malavitose, dopo il versamento del riscatto, rilasciano le chiavi di accesso per sbloccare il sistema e indicano le vulnerabilità. Noi consigliamo sempre di effettuare una bonifica a fondo del sistema».
Quanto costa il monitoraggio regolare di un sistema informatico aziendale?
«I costi variano in base alle dimensioni dell’azienda, al tipo di protezione da implementare. Si può andare da 5.000 euro a 500.000 euro l’anno. Ci sono anche polizze assicurative. Fino a qualche anno fa coprivano anche il costo del riscatto, ora nessuno fa più questo servizio».
