L’industria dei ricatti informatici, spiegata

Negli ultimi mesi ci sono stati diversi casi eclatanti di attacchi informatici a reti che gestiscono infrastrutture e strutture pubbliche e private in diversi paesi, con impatti rilevanti su grandi porzioni di popolazione. Questi attacchi sono chiamati ransomware (dal nome del software usato per metterli in atto) e consistono nel rubare dati alla vittima con l’obiettivo di ottenere un riscatto (ransom, in inglese). Questo genere di attacchi esiste da molto tempo, ma il loro numero è in crescita da anni, e ha interessato istituzioni nazionali, amministrazioni locali, ospedali, università, grandi società private, piccole imprese, ma anche singole persone, le quali spesso sono meno in grado di difendersi.

Data la loro efficacia e la difficoltà delle autorità nel trovarne e punirne gli autori, stanno aumentando sia la loro frequenza sia la loro portata, tanto che la protezione da questi attacchi è diventata una priorità per i governi di tutto il mondo. La loro diffusione, inoltre, ha fatto nascere due ricche industrie: quella dei ricatti informatici e quella di chi assiste le vittime.

I casi più recenti
Il caso di cui si è più discusso nelle ultime settimane è quello dell’attacco alla Colonial Pipeline, il più grande oleodotto di carburanti raffinati degli Stati Uniti. L’attacco, condotto il 7 maggio da hacker affiliati a un gruppo di nome DarkSide e probabilmente operanti dall’Est Europa, ha causato carenza di carburante in diverse località e fatto salire temporaneamente il prezzo di petrolio e carburanti negli Stati Uniti, portando il governo ad adottare una dichiarazione di emergenza in 18 stati. Per riportare le operazioni alla normalità nel più breve tempo possibile, la Colonial Pipeline ha confermato di aver pagato agli hacker un riscatto di 4,4 milioni di dollari in bitcoin.

Pochi giorni dopo, due altri attacchi hanno colpito il sistema sanitario irlandese: il primo, avvenuto giovedì 13 maggio, ha costretto il dipartimento della Salute del paese a disattivare tutti i suoi sistemi informatici, inclusa la piattaforma attraverso cui i pazienti prenotano le visite negli ospedali; il secondo, arrivato il giorno seguente, ha cancellato molti appuntamenti medici in programma per la settimana successiva.

Altri casi che avevano interessato grandi numeri di persone nei mesi scorsi erano stati l’attacco a Microsoft Exchange, un software dell’omonima società usato da aziende e organizzazioni di tutto il mondo per gestire email e calendari, e quello noto come SolarWinds, che ha colpito più di 17 mila tra società private ed enti governativi statunitensi.

Anche società e istituzioni italiane sono state recentemente colpite da attacchi simili. Come per esempio il comune di Brescia, il cui sito è rimasto inaccessibile per diversi giorni a partire dal 30 marzo, o quello di Rho, in provincia di Milano, dove il 6 aprile un attacco ha interrotto la normale erogazione dei servizi ai cittadini.

Sempre ad aprile, molte scuole italiane non sono riuscite ad accedere ai propri registri elettronici per diversi giorni a causa di un attacco alla società Axios, che gestisce questi registri per il 40 per cento degli istituti scolastici del Paese.

Come funzionano gli attacchi
La maggior parte di questi casi è riconducibile a uno specifico genere di attacco informatico, condotto attraverso un tipo di software chiamato ransomware. Un ransomware è un programma che, una volta installato in un sistema, lo rende inaccessibile al legittimo proprietario tramite un sistema crittografico. Per potervi riaccedere, la vittima deve pagare agli hacker un riscatto, spesso richiesto in criptovalute che garantiscano l’anonimato degli estorsori.

Nel caso di Colonial Pipeline, per esempio, gli hacker avevano bloccato l’accesso ad alcuni computer essenziali per la gestione dell’oleodotto, bloccando quasi del tutto l’infrastruttura.

I ransomware si diffondono in diversi modi, il più comune dei quali è il phishing via email: l’hacker invia alla vittima designata un’email da un indirizzo che spesso sembra quello di un mittente degno di fiducia (per esempio quello di un collega di lavoro); il testo dell’email esorta con un inganno chi la legge ad aprire un link che installa il ransomware nel sistema della vittima. Questo è di gran lunga il mezzo più utilizzato dagli hacker per tentare di accedere alle reti di aziende dai 100 dipendenti in su.

Quando l’obiettivo sono società più piccole, un metodo molto usato per installare un ransomware nei loro sistemi è quello dell’RDP compromise, che sfrutta falle nella sicurezza dell’RDP usato dall’azienda. L’RDP (Remote Desktop Protocol) è un protocollo di Microsoft molto diffuso nelle imprese, che permette ai dipendenti di accedere al sistema aziendale da remoto attraverso una connessione di rete.

In aziende piccole e con poche risorse, spesso la sicurezza informatica non è la priorità: ecco perché questo metodo è il più usato contro questo genere di bersagli. Nelle grandi aziende invece, dove si investe molto in sicurezza informatica e ci sono procedure standard per evitare di lasciare nodi vulnerabili, spesso il metodo più facile per accedere è provare a sfruttare l’errore umano: il dipendente che sbadatamente clicchi su un link arrivato da un’email col nome del suo capo.

Come è strutturata l’industria dei ricatti informatici
Quella dei ricatti informatici è un’industria piuttosto ricca, che nel solo 2020 ha generato almeno 18 miliardi di dollari in riscatti, secondo la società di sicurezza informatica Emsisoft. Stando alla stessa fonte, il riscatto medio si aggira attorno ai 154 mila dollari ed è cresciuto di oltre l’80 per cento nel corso dell’anno passato. Questo potrebbe essere un segno del fatto che gli estorsori tendono sempre più a ricattare istituzioni e società di grandi dimensioni, per le quali la perdita o diffusione dei dati genererebbe danni ingenti (anche di reputazione), e che possono permettersi di pagare riscatti più alti per ripristinare la normalità.

Grazie anche alla pandemia, che ha accelerato l’adozione del lavoro da remoto moltiplicando i punti vulnerabili dei sistemi informatici aziendali, l’anno scorso il numero di attacchi ransomware è aumentato del 60 per cento, arrivando a 305 milioni in tutto il mondo (circa 836 mila al giorno in media), stima SonicWall, un’altra società di sicurezza informatica.

Come riporta il Financial Times, l’industria è dominata a livello mondiale da poco più di una ventina di organizzazioni. Alcune di queste si specializzano nel primo stadio della filiera, occupandosi solo dello sviluppo del ransomware e delegando ad altri le operazioni di infiltrazione nei sistemi delle vittime e di estorsione. In altre parole, agiscono da fornitori di servizi per altri criminali. Qesto tipo di servizio si chiama Raas (Ransomware-as-a-service) e funziona in maniera simile a un qualsiasi altro servizio di software in abbonamento: le organizzazioni che sviluppano il software lo affittano ad altri criminali, chiamati affiliati, i quali possono così usare il ransomware noleggiato per ricattare chiunque riescano, cedendo in cambio una porzione dei loro profitti all’organizzazione che ha sviluppato il software.

Insomma, come ha fatto notare Joshua Motta, amministratore delegato del gruppo assicurativo specializzato in informatica Coalition, sentito dal Financial Times, nell’industria sta avvenendo una “suddivisione del lavoro”, per cui diversi gruppi criminali si stanno specializzando in diverse fasi della filiera. Questo fenomeno ha abbassato le barriere all’entrata (cioè le competenze necessarie) per mettere in atto questo tipo di estorsioni, ed è una delle ragioni dell’aumento del numero di attacchi.

Il Raas è anche il modello di business di DarkSide, l’organizzazione il cui ransomware è stato usato nell’attacco all’oleodotto della Colonial Pipeline. Secondo Emsisoft, DarkSide è organizzata quasi come un’azienda: oltre a noleggiare il proprio ransomware ai suoi affiliati, offre loro supporto in chat in tempo reale e aggiornamenti del software. Inoltre, pratica offerte per attrarre nuovi affiliati (a cui lascia tra il 75 e il 90 per cento dei profitti) ed emette persino comunicati stampa.

I vari modi usati per estorcere denaro
Una volta introdottosi in un sistema e installato il ransomware, ogni ricattatore ha poi diversi modi per ottenere denaro dall’operazione. Prima di tutto, può chiedere un riscatto alla vittima per restituirle accesso ai dati criptati. Poi, dato che il ricattatore spesso copia i dati su server esterni a quelli della società prima di criptarli, può minacciare di diffonderli in cambio di altri soldi. Questa viene chiamata in gergo double extortion, doppia estorsione, ed è una pratica diventata molto comune nel 2020.

Ovviamente, anche nel caso che la vittima paghi il riscatto, non avrà mai la certezza che i suoi dati vengano cancellati dal server usato dal ricattatore, il quale anzi può guadagnare altri soldi rivendendoli a qualcun altro, indipendentemente dal fatto che la vittima abbia pagato il riscatto. Stessa cosa può essere fatta con le credenziali d’accesso a un sistema: l’hacker che sia entrato in possesso delle credenziali dell’amministratore di sistema può rivenderle ad altri una volta usate per i propri scopi.

Questo è uno dei motivi per cui tante istituzioni, a partire dall’FBI, consigliano di non pagare il riscatto: spesso non assicura nulla, mentre incentiva l’aumento del fenomeno. E sembra che sempre più vittime stiano seguendo il consiglio: i dati di Coveware, una società che aiuta i ricattati a negoziare con gli estorsori, indicherebbero che nell’ultimo trimestre 2020, nonostante l’aumento dei ricatti, sia aumentato anche il numero di vittime che si sono rifiutate di pagare una volta fatta un’analisi costi-benefici. In generale, le vittime che decidono di pagare sono circa il 27 per cento del totale secondo Emsisoft.

Nell’intento di far sì che le imprese ricattate paghino, alcune organizzazioni criminali avrebbero addirittura messo su dei call center che telefonano agli amministratori delegati delle società sotto attacco per sollecitarli a pagare. Non solo: avendo accesso ai dati dei clienti di queste imprese, chiamano anche questi ultimi, informandoli di essere in possesso dei loro dati e sollecitandoli a fare pressioni sull’azienda sotto attacco perché paghi.

Per finire, un altro metodo citato dal Washington Post per spronare l’impresa ricattata a pagare è quello di minacciarla di attuare contro i suoi server un attacco DOS (Denial-of-service), che consiste nel tempestare i suoi server di richieste fino a mandarli fuori uso, interrompendo i servizi che l’impresa eroga ai propri clienti e creandole un danno economico e reputazionale ulteriore.

L’industria di chi aiuta le vittime
Il fenomeno crescente degli attacchi ransomware ha fatto sì che nel tempo prendesse forma un’altra industria: quella delle società specializzate nell’assistenza ai ricattati. Imprese come Coveware aiutano le vittime nella negoziazione con gli estorsori e nel pagamento dei riscatti (operazione che ha un certo grado di complessità per chi non ha dimestichezza con le transazioni in criptovaluta), oltre a fornire strumenti e assistenza per tentare di ripristinare i dati.

Quest’industria non è vista di buon grado da diverse autorità, perché c’è chi sostiene che non faccia altro che alimentare il fenomeno, così come lo alimenterebbero le polizze assicurative sugli attacchi ransomware. Una tesi sostenuta anche dal gruppo assicurativo AXA, che il 7 maggio, poco dopo essere finito lui stesso vittima di un attacco del genere, ha annunciato la sospensione delle sue polizze che rifondono il pagamento dei riscatti da ransomware in Francia. Nel 2020, la Francia è stato il secondo paese al mondo per ammontare di danni da attacchi ransomware a imprese e istituzioni dopo gli Stati Uniti. Se contiamo anche le persone fisiche, il secondo paese al mondo è stato invece l’Italia, dove il costo totale degli attacchi l’anno scorso avrebbe superato 1 miliardo e 387 milioni di dollari, (1 miliardo e 136 milioni di euro, al cambio attuale) secondo Emsisoft.

Peraltro, l’aumento delle estorsioni nei confronti di grandi società, oltre a far salire nel tempo il riscatto medio ha fatto crescere anche i danni da interruzione delle operazioni (più una società fattura, più alte saranno le mancate entrate se si ferma), in genere coperti dalle assicurazioni. Ecco perché i prezzi delle polizze sono saliti negli ultimi mesi e saliranno tra il 20 e il 50 per cento nel corso del 2021, stima AON, un grande gruppo assicurativo citato dal Financial Times.

Come risolvere il problema?
Nel 2020, a livello globale, i ricatti informatici hanno inferto danni totali incalcolabili, nell’ordine delle centinaia di miliardi di dollari secondo Emsisoft.

Per porre fine al problema, alcuni ritengono che i governi debbano vietare il pagamento dei riscatti da parte delle vittime, cosicché gli attacchi smettano di essere profittevoli per gli estorsori. Altri però fanno notare che questo potrebbe far sì che gli hacker concentrino i loro attacchi contro obiettivi che non abbiano scelta, come gli ospedali, nei quali la vita e la salute dei pazienti dipende anche dal corretto funzionamento del sistema informatico.

Nel tentativo di disincentivare il pagamento dei riscatti, il governo americano ha emesso delle sanzioni nei confronti di alcuni gruppi criminali come Evil Corp, una organizzazione di hacker basata in Russia, che vietano a persone e società americane di inviare denaro a questi gruppi o facilitare le negoziazioni con loro. Il problema è che spesso la vittima non sa da chi provenga l’attacco (anche se può provare a scoprirlo attraverso siti come ID Ransomware), e se i problemi generati dal ransomware richiedono una soluzione immediata molti decidono di pagare senza farsi troppe domande, finendo per violare le sanzioni e commettere un illecito. Insomma, queste sanzioni non solo potrebbero essere inefficaci, ma finire per punire le vittime e non i ricattatori.

Vista la gravità della situazione, ad aprile, una task force composta da grandi società tecnologiche come Microsoft, Amazon e Cisco, oltreché da istituzioni finanziarie, accademici, membri del ministero della Giustizia statunitense e dell’FBI, ha pubblicato un report contenente una serie di misure per far fronte al problema.

Nel report, la task force ha incoraggiato i governi a intensificare la cooperazione internazionale e punire gli stati che offrano riparo ai criminali, chiedendo alla presidenza degli Stati Uniti di dare l’esempio e cominciare una campagna di intelligence continuativa e aggressiva (“sustained, aggressive”) contro il ransomware, poi effettivamente lanciata il 12 maggio dal governo Biden con un ordine esecutivo in merito. Ha chiesto inoltre ai governi di istituire dei fondi di compensazione per le vittime e di imporre loro di denunciare gli attacchi, nonché di costituire una struttura internazionale che aiuti le società a prepararsi a eventuali attacchi e a gestirli. Infine, ha chiesto una regolamentazione più stringente dei mercati di criptovalute, strumento fondamentale al pagamento dei riscatti.