Quotidiano Nazionale logo
9 apr 2021

Hacker e ricatti: come funziona il sequestro dei server. Boom di casi

Dopo i casi di Brescia, Rho e Axios la polizia postale indaga per scoprire se c'è un gruppo unico in azione. Escalation di attacchi con il primo lockdown

luca tavecchio
Cronaca
H2FPTF Hackers and green digital computer writing
Hacker all'attacco di due ospedali milanesi

Milano, 9 aprile 2021 - Il Comune di Brescia, quello di Rho e infine Axios, la società che gestisce i registri elettronici di circa il 40% delle scuole italiane. Nelle vacanze pasquali gli hacker si sono davvero scatenati. Con modalità molto simili tra loro, ovvero attraverso ransomware, intrusioni che paralizzano i sistemi informatici a scopo di estorsione.

Già, perché se storicamente le azioni dei pirati informatici avevano finalità piuttosto oscure, che oscillavano tra la dimostrazione di bravura degli hacker e il cyber spionaggio tra Nazioni, negli ultimi anni l’obiettivo è molto più concreto e molto poco originale: i soldi. I criminali infatti “sequestrano” i server delle loro vittime chiedendo un riscatto per liberarli. Secondo il rapporto annuale di Clusit, l’Associazione italiana di sicurezza informatica nata all’interno dell’Università Statale di Milano, gli attacchi ransomware nel 2020 sono aumentati del 20%, arrivando ad essere il 29% degli attacchi totali registrati nel mondo.

Nel caso del Comune di Brescia la cifra richiesta dai cyber sequestratori è stata di 1,3 milioni, da pagare in bitcoin. Per gli amministratori di Rho invece sono stati chiesti inizialmente 400mila euro, lievitati poi a 650mila nel giorno successivo. "Tra l’altro – dice il sindaco di Rho Pietro Romano – hanno davvero sbagliato bersaglio, visto che un’amministrazione comunale, anche volendo, non avrebbe potuto mai pagare".

Naturalmente nessuno ha tirato fuori un euro e subito è stato denunciato tutto alla Polizia Postale, le cui indagini ora sono in corso, anche per stabilire se dietro ai tre attacchi – avvenuti negli stessi giorni e con lo stesso sistema – ci sia lo stesso gruppo. Scoprire i responsabili di queste azioni, del resto, è una delle sfide più difficili che gli investigatori possano trovarsi davanti. Spesso gli attacchi sono infatti automatizzati e partono da diversi computer o da IP che cambiano in continuazione. E anche seguire la “traccia” dei bitcoin è quasi impossibile, sia perché le criptovalute sono per definizione nascoste, sia perché spesso le deboli piste portano a paradisi fiscali coi quali è molto difficile collaborare.

I cyber criminali possono inoltre contare su una rete di scambio di informazioni nel dark web (siti non rintracciabili dai motori di ricerca) tanto aggiornata quanto inaccessibile. In uno di questi forum clandestini, per esempio, a novembre dell’anno scorso, sono state pubblicate varie liste di siti italiani vulnerabili: l’analisi di un attacco effettuato sempre all’inizio di novembre ha permesso di individuarne 571 (201 dei quali sono in Lombardia). 571 potenziali vittime di ransomware.

I tre soggetti coinvolti negli attacchi di Pasqua si sono affidati a società specializzate per il ripristino dei sistemi, una procedura che però richiede sempre tempo e soldi. Almeno una settimana per Brescia e Rho, di più forse per Axios (il Registro Elettronico non è stato utilizzabile per giorni da insegnanti e studenti). "I veri costi, oltre ai grandi disagi per i cittadini – dice ancora Romano – sono stati quelli di ripristino dei server, visto che i tecnici sono dovuti intervenire su tutti i singoli computer per ripulirli".

Nonostante l’impossibilità di ottenere davvero il riscatto da un’ente pubblico, le amministrazioni comunali, anche piccole, sono finite spesso nel mirino degli hacker, probabilmente a caccia di dati dei cittadini o di percorsi alternativi per colpire obiettivi più grandi: l’anno scorso, a Marentino, piccolo centro di mille abitanti della provincia di Torino, i cyber criminali misero ko il sistema informatico chiedendo prima 50mila e poi 100mila euro per fornire la chiave di ripristino. E lo stesso era capitato ad altri Comuni della zona.

Ma i casi sono tanti, e in continuo aumento. Ci sono le grandi aziende, come Enel nell’ottobre scorso (richiesta di riscatto 14 milioni), Campari (16 milioni), Snai, Piaggio, Luxottica, ma anche società più piccole, ospedali, università ed enti, anche strategici come l’Enac, colpito nel luglio dell’anno scorso, fino ai singoli cittadini.

Secondo il rapporto di Clusit, nel 2020 in Italia sono stati 115 gli attacchi ransomware di grandi dimensioni. Ai quali si devono aggiungere quelli minori, che sfuggono alle statistiche ufficiali, ai danni per esempio di piccoli professionisti che si vedono sottrarre dati dei clienti e ai quali vengono poi richieste cifre più piccole, nell’ambito delle decine di migliaia di euro.

Per quanto riguarda gli episodi gravi, il rapporto Clusit mostra un’evidente impennata dei numeri a marzo e aprile 2020 (18 casi contro i 7 nei due mesi precedenti), quando le aziende – a causa del lockdown – si sono convertite il più in fretta possibile allo smartworking, affidandosi ai computer dei dipendenti, molto più vulnerabili.

Anche perché spesso la porta agli hacker viene aperta inconsapevolmente dalle stesse vittime, magari cliccando sul link di una mail all’apparenza del tutto affidabile. Come nel caso, sempre durante il primo lockdown, del ransomware (realizzato in Italia, secondo gli esperti) FuckUnicorn che s’insinuava nei computer attraverso una mail con oggetto “Nuova App Immuni Anteprima”. Cliccando al link contenuto nel messaggio (scritto in maniera molto credibile) si scaricava un malware che bloccava il computer: per lo sblocco veniva richiesta una cifra modesta, 300 euro, sempre in bitcoin. I pirati informatici facevano affidamento sulla vasta platea di potenziali vittime e il piccolo esborso per risolvere un’enorme disagio. La richiesta di riscatto, contenuta in un file apposito, si chiudeva così: "Andare dalla polizia o chiamare tecnici a niente servirà, nessun essere umano aiutarti potrà".

 

© Riproduzione riservata

Iscriviti alla newsletter.

Il modo più facile per rimanere sempre aggiornati

Hai già un account?