La pandemia di Covid-19 ha messo le ali alla criminalità informatica

La pandemia di Covid-19 ha messo le ali alla criminalità informatica. Nella corsa all’estorsione sono finite non solo grandi aziende ma anche le strutture sanitarie

Con la pandemia sono cresciuti i “virus del riscatto” che cifrano i sistemi e chiedono soldi per sbloccarli. Ma ora alla minaccia della cifratura aggiungono quella del furto e della divulgazione dei dati.
Nel mirino è finito anche il Made in Italy. Ma a livello globale c’è allarme anche per la sanità. L’Fbi avvisa di attacchi contro decine di ospedali americani. In Germania si indaga per la prima sospetta morte da pronto soccorso bloccato.
Dietro ci sono gruppi criminali ben organizzati e informati, pieni di soldi, e pronti a innovare ancora.

La pandemia di Covid-19 ha messo le ali alla criminalità informatica. E al suo prodotto di punta, il ransomware, quel genere di software malevolo che cifra i file, blocca le attività e l’accesso ai dati e chiede un riscatto per fornire la chiave per recuperarli. Il salto di qualità è avvenuto su due livelli: da un lato, i gruppi cybercriminali si sono dati alla pesca d’altura, prendendo di mira organizzazioni medio-grandi; dall’altro, hanno innovato la modalità estorsiva, aggiungendo alla cifratura la minaccia di diffondere i dati delle vittime. Anche in Italia, dove abbiamo assistito a una progressione verso marchi noti e importanti.

Made in Italy nel mirino

Se infatti il 2019 si era concluso con un ransomware alla Bonfiglioli Riduttori, azienda di componentistica meccanica di precisione, e alla multiutility Iren, il nuovo anno è iniziato con la cooperativa imolese Cefla che a gennaio ha dovuto rimandare a casa i dipendenti in seguito a un incidente simile.

E poi è proseguito inanellando attacchi a target di alto profilo del made in Italy: Geox a giugno, Luxottica e Gruppo Carraro (leader nelle macchine agricole) a settembre. E ancora Enel a ottobre, con un attacco rivendicato dalla gang Netwalker che avrebbe chiesto 14 milioni di dollari (ma la multinazionale dell’energia era già stata colpita a giugno da un altro malware noto come Ekans). E poi Campari a novembre.

In alcuni casi gli incidenti possono portare a una paralisi delle attività, obbligano a mandare a casa temporaneamente una parte dei dipendenti, e a ripristinare i sistemi compromessi. Ma la differenza, in termini di danni, viene fatta anche dal furto eventuale di dati sensibili, che avviene poco prima della cifratura. Se dati personali, può far scattare le sanzioni previste dal Regolamento europeo sulla privacy. Se dati aziendali, può significare il furto di asset di valore.

«Ora interessano sempre meno le imprese piccole rispetto a qualche anno fa, e vengono invece colpite realtà grosse e strutturate, molto esposte mediaticamente», dice Stefano Fratepietro, della società di cybersicurezza Tesla Consulting. «La richiesta di riscatto parte quando i criminali sono convinti che tu non possa più ripristinare nulla, inclusi i backup, che hanno prima provato di vanificare. Spesso cercano vulnerabilità in un servizio esposto direttamente sulla rete Internet, entrano, poi scalano i privilegi di accesso, e si muovono lateralmente nella rete aziendale».

Nella prima metà del 2020 i ransomware hanno dominato il 41 per cento degli incidenti riportati da organizzazioni medie e piccole, secondo un report della società di assicurazioni cyber Coalition. E l’attacco spesso sfruttava il fatto che i dipendenti lavorassero da casa, connettendosi da remoto, a causa del Covid-19.

In riduzione anche l’intervallo di tempo tra l’infezione iniziale e l’attivazione vera e propria del ransomware, secondo un report Europol dello scorso aprile. L’agenzia Ue di contrasto al crimine sottolinea come i gruppi cybercriminali si siano messi a reclutare attivamente collaboratori a partire dall’emergenza coronavirus per orchestrare campagne di infezione attraverso l’invio di mail (phishing) su larga scala.

I ransomware sono stati la minaccia cybercriminale dominante degli ultimi anni, sottolinea ancora Europol. Ma il Covid-19 ha reso le bande che li gestiscono ancora più aggressive e ambiziose.

«Sono attacchi molto mirati, fatti da gruppi ben informati, che hanno disponibilità di fondi, in grado di comprarsi attacchi (exploit) o pagare perfino persone sul posto, insider, qualcuno che inserisca una chiavetta, una pista da non sottovalutare», dice Luca Savoldi, fondatore della società di cyber intelligence Abissi.

«Spesso sanno anche se hai una assicurazione che copre questo genere di attacchi. Abbiamo trovato un portafoglio bitcoin di uno di questi gruppi, probabilmente russo, che conteneva l’equivalente di 10 milioni di euro, usati come fondo spese. La cifratura è ormai del tutto secondaria, il loro obiettivo è portarsi via dati strategici, che possono essere utili anche allo spionaggio industriale e governativo».

Ospedali a rischio

Ma nella corsa all’estorsione sono finite anche le strutture sanitarie. Già lo scorso aprile l’Interpol avvisava del rischio gli ospedali. Del resto, per citare solo alcuni episodi, a marzo il nosocomio della Brno University nella Repubblica ceca cancellava gli interventi programmati a causa di un’infezione.

Mesi dopo veniva colpito l’ospedale spagnolo Moisès Broggi (Barcellona), con blocco dei telefoni, della posta e delle immagini di radiologia. Ma l’evento più eclatante è stato a settembre in Germania, quando un software malevolo ha bloccato il pronto soccorso del Düsseldorf University Hospital per 13 giorni, obbligandolo a rimbalzare a un ospedale più lontano una paziente di 78 anni, poi deceduta. Le autorità hanno aperto un’indagine per omicidio colposo. Gli inquirenti attribuiscono l’attacco alla gang DopplePaymer, di sospetta origine russa.

Si è arrivati così a fine ottobre e a un’allerta dell’Fbi e dell’agenzia americana per la sicurezza delle infrastrutture e della cybersicurezza (Cisa) che «avvisava di “una imminente e aumentata minaccia» contro decine di ospedali statunitensi proveniente da ransomware amministrati da gruppi dell’Est Europa.

La svolta del doppio ricatto

È stato chi gestisce il ransomware Maze a innovare per primo, a fine 2019. A lanciare il format in cui si raddoppia la minaccia, aggiungendo al blocco dei sistemi e attività anche la possibilità di leak, di fuga dei dati. Nel loro sito i suoi autori si vantano di rispettare scrupolosamente l’accordo con quello che chiamano, con sfacciato understatement, il cliente.

Ma se entro pochi giorni il “cliente” non paga, i suoi dati sono diffusi online. Da quel momento, li hanno imitati in molti. Oggi sono oltre una dozzina i gruppi che si dedicano al ransomware con leak. Il Covid ci ha messo il carico. «C’è una crescita di attacchi e un aumento della pressione», dice Paolo Dal Checco, consulente informatico forense. «Tra l’attivazione del ransomware e la data in cui vengono chiesti i soldi passano in media solo 4-5 giorni».

Le gang cybercriminali

Ci sono stati anche dei tentativi di cartello, con Maze che a giugno si è messo a pubblicare i dati ottenuti da criminali rivali. Oggi il sito Corporate leaks del gruppo/ransomware Nephilim pubblica notizia di un attacco a una azienda ogni tre giorni, in media. Le vittime sono americane ed europee, di medie/grandi dimensioni. C’è il nome e la descrizione dell’organizzazione, ci sono link a file con alcuni dei documenti che gli attaccanti sostengono di aver sottratto. Le informazioni sono comunque diffuse in pillole, in modo da fare pressione sulle vittime affinché cambino idea e paghino.

Il sito della gang Clop, emersa a inizio 2019, scrive di non voler attaccare «ospedali, orfanotrofi (sic) e organizzazioni caritatevoli». Tra le sue vittime, il conglomerato tedesco Software AG e una richiesta di riscatto di 23 milioni di dollari. Anche questo malware, come alcuni altri, se determina di trovarsi su una macchina impostata sul russo, si cancella. Altrimenti, procede con l’infezione. Viene distribuito attraverso falsi aggiornamenti software, email, ma anche vulnerabilità presenti in apparati di rete.

Invece il gruppo di un altro noto ransomware, REvil, ha un blog nel Dark Web dove mette all’asta i documenti sottratti a realtà che non hanno pagato, inclusi studi legali. Ad esempio un pacchetto legale riguardante varie celebrità veniva venduto (almeno sulla carta) a 1,5 milioni di dollari. Mentre Maze e DopplePaymer sono stati i gruppi più attivi, il primo con richieste di riscatto di un ammontare pari a sei volte la media, e oltre cento vittime.

Nuovi rischi

I fornitori di servizi IT e cloud rischiano di essere il prossimo succulento target. Ad aprile è stato colpito l’americano Cognizant. E a ottobre Sopra Steria, azienda francese di servizi informatici che ha clienti nel settore bancario, anche in Italia
«Ci sono due livelli, la criminalità più organizzata e la microcriminalità», dice ancora Fratepietro. «La prima - gruppi come Maze, EvilCorp - detta la tendenza, gli altri seguono e copiano, anche in modo sconclusionato». EvilCorp è un gruppo di origine russa che è stato individuato e sanzionato dal Tesoro americano. Alcuni sospettano che possa essere lo stesso ad aver chiesto ben 10 milioni di dollari di riscatto a Garmin, il produttore di smartwatch, lo scorso luglio.

Carola Frediani

Carola Frediani è cybersecurity awareness manager per un importante rivenditore online. Nel 2010 ha cofondato l’agenzia Effecinque. Ha scritto Dentro Anonymous. Viaggio nellle legioni dei cyberattivisti (Informant, 2012), Deep web. La rete oltre Google - personaggi, storie e luoghi dell'internet profonda (Quintadicopertina, 2014) ed è stata coautrice di Attacco ai pirati. L'affondamento di Hacking Team: tutti i segreti del datagate italiano (La Stampa - 40k, 2015). Il suo ultimo libro è Guerre di rete (Laterza, 2017).