Il cyberattacco ai danni della Colonial Pipeline negli Stati Uniti ha rivelato, per la prima volta, come gli hacker possano mandare in tilt il funzionamento di un sistema-Paese: bloccata la più importante rete di oleodotti statunitensi, forniture interrotte, il presidente Biden costretto, in piena pandemia, a dichiarare lo stato di emergenza. La potenza dell’attacco, a fini prevalentemente estorsivi, apre un abisso enorme sul futuro.

Cos’è un ransomware

Il ransomware è un tipo di malware che impedisce o limita l’accesso degli utenti al proprio sistema, bloccando lo schermo o i file personali fino a quando non viene pagato un riscatto. Famiglie di ransomware più moderne, collettivamente classificate come cryptoransomware, crittografano determinati tipi di file su sistemi infetti e costringono gli utenti a pagare il riscatto attraverso determinati metodi di pagamento online per ottenere una chiave di decrittazione.

I prezzi del riscatto variano a seconda della variante del ransomware e del prezzo o dei tassi di cambio delle valute digitali. Grazie all’anonimato offerto dalle criptovalute, gli operatori di specificano comunemente i pagamenti del riscatto in bitcoin anche se le recenti varianti di ransomware hanno anche segnalato opzioni di pagamento alternative come carte regalo iTunes e Amazon, mostrando come questi strumenti possono essere manipolati anche da “pesci piccoli” del mondo hacker. Tuttavia, il pagamento del riscatto non garantisce che gli utenti ottengano la chiave di decrittazione o lo strumento di sblocco necessario per riottenere l’accesso al sistema infetto o ai file in ostaggio: dipende da chi o cosa c’è dietro.

Gli attacchi ransomware vengono in genere eseguiti utilizzando un Trojan camuffato da file legittimo che l’utente viene indotto a scaricare o ad aprire quando arriva come allegato di posta elettronica. Tuttavia, un esempio di alto profilo come il worm WannaCry, responsabile del cyberattacco mondiale del maggio 2017, viaggiava automaticamente tra i computer senza l’interazione dell’utente.

Il primo attacco ransomware

Il ransomware era originariamente destinato a prendere di mira le persone, per ottenere grossi ricavi in denaro: questo tipo di attacchi resta la fetta più consistente delle violazioni. Sebbene abbiamo imparato a conoscere questo tipo di aggressioni dal 2005 in poi, il primo attacco ransomware noto si è verificato nel 1989 e ha preso di mira il settore sanitario: quasi trent’anni dopo, le reti ospedaliere rimangono il principale obiettivo sensibile.

Il primo uso del ransomware fu a firma di un ricercatore impegnato nella lotta all’AIDS, Joseph Popp, che distribuì oltre 20mila floppy disk fra i suoi colleghi in più di 90 paesi, sostenendo che i dischi contenevano un programma che analizzava il rischio di un individuo di contrarre l’AIDS. Tuttavia, esso conteneva anche un programma malware che si attivava solo dopo che un computer era stato acceso 90 volte. Dopo che era stata raggiunta la soglia dei 90 avvii, il malware richiedeva un pagamento di 189 dollari e altri 378 per un leasing software: il denaro doveva essere trasferito, poi, su un conto a Panama. Questo attacco ransomware divenne noto come Aids Trojan, o PC Cyborg.

Joseph Popp venne arrestato, ma la Corte lo dichiarò mentalmente incapace a sostenere un processo.

Breve storia degli attacchi ransomware

L’episodio rocambolesco di Popp aprì la strada all’uso futuro dei ransomware anche da parte dei meno esperti. Vengono sempre più frequentemente sviluppati toolkit che possono essere scaricati e implementati da aggressori con competenze tecniche minime. Alcuni dei criminali informatici più avanzati rinunciano ad attacchi per conto proprio, monetizzando offrendo programmi ransomware-as-a-service, il che ha portato alla crescita di noti ransomware come CryptoLocker, CryptoWall, Locky e TeslaCrypt: CryptoLocker è stato uno dei ceppi più redditizi del suo tempo; tra settembre e dicembre 2013, ha infettato più di 250.000 sistemi e fatto guadagnare più di 3 milioni di dollari.

Rimasti in soffitta per qualche tempo, questi malware sono tornati sulla cresta dell’onda negli ultimi dieci anni per diventare, dal biennio 2015-2016 in poi, l’incubo di mezzo mondo. Nel 2015, un gruppo noto come Armada Collective prese di mira le banche greche, sperando di convincerle a pagare la somma di 7 milioni di euro ciascuna. Una dura sconfitta per la sicurezza bancaria di un Paese in grave difficoltà. Nel 2016 una serie di ospedali, soprattutto californiani, è stata oggetto di cyberattacchi dai quali sono riusciti a uscire più o meno indenni alcuni giorni dopo. Alla fine di quell’anno la nuova variante Locky si impose sulla CryptoWall. Quello stesso anno gli hacker presero di mira anche la San Francisco Municipal Transportation Agency nel giorno del black friday, riuscendo ad interrompere “solo” l’emissione dei titoli di viaggio.

Nel 2019 un attacco ransomware venne scagliato contro un ospedale di Los Angeles, l’Hollywood Presbyterian Medical Center (Hpmc), e avrebbe richiesto un riscatto di 3,4 milioni di dollari. L’attacco ha costretto l’ospedale a tornare nell’era pre-informatica, bloccando per dieci giorni l’accesso alla rete aziendale, alla posta elettronica e ai dati sensibili dei pazienti. Poco più di una settimana dopo, il Dipartimento dei servizi sanitari della contea di Los Angeles è stato infettato da un programma che bloccava l’accesso dell’organizzazione ai suoi dati.

Attacchi ransomware e terroristi

L’attacco di DarkSide, un gruppo criminale relativamente nuovo, che si ritiene abbia radici nell’Europa orientale, ha messo in luce la notevole vulnerabilità delle principali infrastrutture americane. Tuttavia, dalle prime interazioni, sembra che il gruppo non avesse alcuna intenzione di violare l’ordine costituito ma semplicemente di incassare quanto più possibile. Tutte ipotesi ora al vaglio dell’ Fbi. Ciononostante, l’accaduto genera un inquietante interrogativo: cosa accadrebbe se, a usare un ransomware, fossero organizzazioni terroristiche?

Una vasta fetta della letteratura in materia arriva perfino a negare che gli attacchi informatici possano essere classificati come vero e proprio terrorismo, non adeguandosi alle caratteristiche tradizionali di ciò che è comunemente inteso come tale. Il motivo è che una minaccia sconosciuta è percepita come più potente psicologicamente di una minaccia nota, come una bomba. Dopo l’11 settembre, le due paure di un attacco violento e quelle legate alla tecnologia sono state fuse in un’unica idea: il cyberterrorismo. Quando la dimensione politica è stata aggiunta a questo connubio, il dibattito sulla sicurezza nazionale ha raggiunto un picco massimo di ansia collettiva, soprattutto negli Stati Uniti.

Ma, tecnicamente, cosa sarebbero in grado di architettare dei cyberterroristi? Per primo, interrompere i principali siti avviando molestie pubbliche o interrompendo il traffico Internet; disabilitare o modificare i segnali della tecnologia militare; prendere di mira sistemi infrastrutturali critici come un impianto di trattamento delle acque o una rete elettrica; fare cyberspionaggio a fini di intelligence. Nell’ultimo decennio, ci sono stati tre atti di terrorismo informatico significativi, che sono stati ampiamente trattati nella letteratura e tutti avvenuti nell’est Europa: in Estonia nel 2007, in Georgia nel 2008 e nel 2015 in Ucraina. Questi episodi dimostrano che l’opzione cyberterroristica esiste eccome, ma ne svela anche la più grande potenza: non possiamo prevedere nel tempo e nello spazio l’entità, la ragione e la magnitudine di un attacco informatico. L’unica buona notizia di cui disponiamo è che le generazioni di ransomware sono longeve e per evolvere impiegano del tempo: ergo, gli attacchi informatici dei prossimi 5/10 anni saranno tecnologicamente simili a quelli che abbiamo imparato a conoscere in questi ultimi giorni, il che ci rende più preparati a fronteggiarli.

Due elementi, invece, potrebbero renderli più frequenti di prima, soprattutto per i singoli individui: la diffusione dell’Internet delle cose, che invaderà la nostra vita nei prossimi 20 anni, rendendoci vulnerabili; ma soprattutto lo smartworking, croce e delizia della pandemia: negli ultimi 14 mesi, studenti e lavoratori da remoto sono, infatti, sempre più nel mirino dei ransomware. I dati rivelano un panorama di minacce informatiche senza precedenti, nel quale gli hacker hanno saputo sfruttare al massimo il terreno di attacco, in costante espansione, rendendo l'”ufficio di casa” la porta per le reti aziendali di tutto il mondo.

Nel campo comunista di Goli Otok
SOSTIENI IL REPORTAGE