Dietro al ransomware spesso ci sono governi ostili
Le operazioni fruttano milioni di dollari e spesso sono anche operazioni di stato clandestine
La reazione del presidente della regione Lazio, Nicola Zingaretti, all’attacco ransomware in un primo momento fa ridere. “E’ terrorismo”, ha detto Zingaretti, ma questo tipo di estorsioni sono molto comuni da almeno tre anni e hanno già colpito in modo specifico la gestione di ospedali e del settore sanità in molti paesi. Il ransomware è così frequente che dovrebbe essere fra le prime preoccupazioni di qualsiasi amministrazione – pubblica e privata. E’ un’industria criminale da milioni di dollari che ormai non richiede nemmeno più competenze informatiche sopra la media e ci sono gruppi che offrono a pagamento gli strumenti e le capacità per lanciare attacchi di questo tipo. Lo scopo è raccogliere molti soldi con ricatti anonimi senza possibilità di rimedio e sparire nel nulla. In un secondo momento però c’è da dire che quella reazione di Zingaretti, “è terrorismo”, contiene un nucleo di verità.
Non è un esagerazione che il caso sia stata affidato ieri all’antiterrorismo. Il ransomware è destabilizzante, genera caos, sottrae quantità enormi di dati spesso importanti, penetra nei sistemi informatici, erode la fiducia nel funzionamento delle cose. Non produce soltanto un guadagno illegale, produce anche effetti politici. Può essere che il ransomware che ha colpito e paralizzato la Regione Lazio sia soltanto un capitolo collaterale di un’operazione più ampia che ha coinvolto anche molte aziende private – in questa fase c’è una ridda di illazioni non verificabili – però la conseguenza è un colpo alle vaccinazioni proprio in un momento delicatissimo. C’è la certificazione verde detta anche “green pass” in arrivo fra due giorni, c’è bisogno di mantenere alto il numero delle vaccinati giornalieri, mancano poche settimane all’autunno e la paralisi dei dati arriva in un periodo cruciale.
Come si è detto, non c’è alcun elemento che faccia pensare a qualcosa di diverso da un’operazione criminale contro il Lazio. Ma in generale pensare al ransomware soltanto come a una semplice estorsione è riduttivo, perché ci sono molti governi che lo hanno adottato come uno strumento di offesa ibrida da tenere a disposizione – anche se magari questo non è assolutamente il caso e non c’è alcun elemento che lo faccia pensare – contro altri paesi.
Il ransomware è anche una riedizione contemporanea della guerra da corsa, quando i corsari sponsorizzati da nazioni amiche intercettavano e saccheggiavano in mare le navi di nazioni avversarie. Loro ci guadagnavano il bottino che trovavano a bordo, le nazioni amiche godevano delle distruzioni inflitte ai nemici e si avvantaggiavano nei commerci. Portato ai giorni nostri, questo schema spiega molti eventi recenti. Spiega tra le altre cose perché il 20 luglio l’Amministrazione Biden, la Nato, l’Unione europea e altri paesi alleati hanno accusato in modo formale e per la prima volta il ministero della Sicurezza di Stato della Cina di avere compiuto attacchi ransomware in occidente a marzo.
Nella nota allegata alle accuse sostengono che la Cina ha creato un’azienda fittizia che funziona da copertura per assoldare hacker e traduttori che aggrediscono bersagli occidentali e sottraggono informazioni. Spiega anche perché a giugno il vertice tra il presidente Joe Biden e quello russo Vladimir Putin è stato dedicato per una parte importante alla questione ransomware – che secondo il New York Times ha preso il posto che una volta era riservato ai negoziati sul nucleare. Biden ha consegnato a Putin una lista dei sedici settori chiave che gli hacker russi non devono colpire e in questo modo ha collegato in modo diretto il governo russo e gli hacker. Come minimo, è il messaggio da parte americana, c’è un rapporto di tolleranza fra la Russia e i gruppi criminali che si occupano di ransomware e va subito interrotto. Ma è possibile che sia più di un semplice rapporto di tolleranza e che gli hacker lavorino in contatto diretto con l’intelligence russa.
Di certo sappiamo che pochi giorni dopo il vertice e dopo una telefonata di Biden a Putin il gruppo russo più aggressivo, REvil, che sta per Ransomware Evil, ha interrotto le attività e ha cancellato la propria presenza online. Era il responsabile di attacchi spettacolari durati fino al 4 luglio e non si è capito se è stato colpito da un’azione clandestina americana oppure se ha deciso di eclissarsi per pressioni ricevute dai russi. Il collettivo russo DarkSide, che offre consulenza e strumenti a pagamento per chi vuole lanciare attacchi ransomware, è sparito a maggio per colpa di una non meglio specificata “pressione americana” citata in un messaggio di interruzione dei servizi. C’è da chiedersi se questa fine degli attacchi russi al mercato americano non voglia dire che stanno cercando altri bersagli, magari in Europa e magari in Italia – dove la capacità di deterrenza contro le aggressioni dall’esterno al momento è inesistente (attenzione: è un’ipotesi, per quel che ne sappiamo, quindi pochissimo, l’attacco al Lazio potrebbe venire dall’Italia).
E c’è da menzionare il caso della Corea del nord, che ha trasformato gli attacchi ransomware in un business di stato, con tanto di hacker formati come se fossero un reparto delle forze armate. E’ possibile che le operazioni coreane, come il furto delle mail interne della Sony, siano servite da ispirazione per altri governi. Un particolare importante: il riscatto chiesto alla Sony fu moderato, perché l’operazione era in realtà una punizione dimostrativa per un film satirico contro il dittatore coreano Kim Jong Un. E’ un caso di ransomware politico. Può essere che molti altri ricatti abbiano un significato politico e siano originate da ordini di governi – o da tacite autorizzazioni – ma non possiamo saperlo perché si confondono nel magma delle altre, frequenti, estorsioni con ransomware. Zingaretti potrebbe avere torto completo nel caso specifico e allo stesso tempo ha detto una verità generale.