ransomware
(iStock).
Tecnologia

Ransomware: minaccia economica o strumento di geopolitica?

I recenti attacchi ransomware, tra questi il grave incidente che ha colpito il CED della Regione Lazio, hanno fatto conoscere al grande pubblico l'esistenza di pericolose gang di criminal hacker, oggi sempre più numerose, responsabili di questi fatti.

Scoprire chi c'è dietro tutto questo rappresenta un aspetto fondamentale per la sicurezza del Paese.

Da più parti si pensa che questi gruppi di criminal hacker siano spalleggiati da attori statali e - in particolare - dalla Russia. Non è un caso, d'altronde, che i file necessari a provocare alcuni di questi attacchi - in grado di bloccare completamente i sistemi informatici - presentino delle regole codificate.

Tra queste, esiste un «salvavita» che, qualora venga rilevato che il sistema operativo bersaglio abbia come lingue prefinite provenienti da quella che era la regione dell'Urss (parliamo di nazioni come la Bielorussia, l'Estonia, Lituania, Moldavia, ecc.), interrompe immediatamente l'attacco.

Non sono in cerca di riscatto economico? Questo fatto potrebbe o dovrebbe sollevare altri dubbi. L'ondata di attacchi che sta coinvolgendo il nostro Paese, ma più in generale anche il resto del mondo richiede di essere analizzato come un possibile «gioco di specchi» per distogliere l'attenzione dai veri obiettivi strategici.

È infatti risaputo come il modus operandi classico dei Threat Actors filorussi sia il cosiddetto False Flag, ovverosia eseguire attacchi informatici in modo tale da incentivare gli investigatori ad attribuirne la paternità ad altre nazioni, (tipicamente la Cina, ma questo dipende da tantissimi fattori, non solo cyber ma anche e soprattutto, geopolitici), anche in funzione della tipologia di attacco stesso.
Per esempio, se la veicolazione del malware che serve al ransomware avviene tramite attacchi di phishing mirato, e se la leva psicologica di uno di questi attacchi è «Guardate cosa succede alla minoranza islamica in Cina», sarebbe più logico attribuirne la paternità a Pechino…
Cosa significa tutto questo? Un ransomware che paralizza una struttura o azienda vitale di uno Stato crea un tale livello di attenzione mediatica, oltre a un disservizio, tale da rendere molto più facile, per esempio, il furto di dati altamente riservati o anche, l'installazione di un'APT (Advanced Persistent Threat) per stabilire una permanenza silenziosa ed invisibile all'interno delle strutture prese di mira per un obiettivo spionistico di più lungo periodo.
È un po' come quando, in alcuni contesti e situazioni, si «corre» per contrastare un attacco DDoS (attacchi mirati per interrompere o bloccare un servizio online): mille volte abbiamo visto come questo «enorme rumore di fondo» servisse in realtà solo a coprire il vero attacco informatico, che non era il DDoS di turno, il vero obiettivo era il furto di informazioni sensibili.


Ovviamente sono speculazioni, ma quando la vittima è un'organizzazione istituzionale o quando si tratta di importanti aziende, non è da escludere che dietro possano celarsi strategie ed obiettivi di geopolitica molto più delicati. Il riscatto potrebbe non essere il vero risultato atteso. Questi gruppi di Criminal hacker sono diventati vere e proprie armi di guerra digitale di quelle che una volta avremmo chiamato superpotenze.

Parliamo di Crimine Organizzato (OC, Organized Crime), non di ragazzini come nello stereotipo duro a morire del 15enne con la felpa ed il cappuccio sulla testa. Una schiera di Criminal Hacker alla ricerca d'informazioni; alla ricerca di segreti industriali o comunque con l'obiettivo di creare enormi disservizi (se non veri e propri danni strutturali) controllati e manovrati da interessi che vanno ben oltre il mero guadagno economico. Da bitcoin o altre criptovalute, potremmo vedere richieste più sostanziali? Non è uno scenario da sottovalutare.

Il ransomware, inoltre, può essere usato come uno strumento nell'arsenale digitale da qualsiasi attore statale e non che ha precedentemente tentato di ottenere concessioni o benefici e che lo utilizza in uno scenario di guerra asimmetrica. In passato, un gruppo di pirati, sospettati essere elementi vicini all'Iran, ha tenuto in ostaggio alcuni americani sequestrando delle navi nello stretto di Hormuz, che divide la Penisola arabica dalle coste dell'Iran, per costringere gli Stati Uniti a sbloccare i beni finanziari iraniani e alleggerire le sanzioni imposte dagli stessi.
Non c'è da stupirsi che un Paese come l'Iran possa tentare di favorire una situazione simile usando il ransomware, mentre sperimenta nuovi modi di condurre operazioni informatiche.

Infatti ha già usato questo strumento come parte di una campagna informatica distruttiva contro Israele a partire dall'anno scorso; potrebbe dunque trattarsi solo di questione di tempo prima che gli iraniani chiedano qualcosa in cambio, piuttosto che causare solo distruzione.

E d'altra parte, proprio l'Iran fu la vittima del primo attacco a sistemi industriale della storia, quello Stuxnet che, di fatto, ha creato una pietra miliare in quel tipo di contesti grazie all'alleanza sul campo operativo (e quindi non solo militare, diplomatico o strategico) tra gli Usa e Israele.

In effetti, il ransomware provoca una vera e propria condizione di «ostaggi digitali». Qualche mese fa, attori non statali come i ribelli yemeniti hanno utilizzato questa tattica (la presa di ostaggi fisici) per negoziare scambi di prigionieri; gruppi di insorti filorussi hanno occupato edifici governativi per chiedere un referendum sulla secessione e l'ISIL (Islamic State of Iraq and the Levant) ha sequestrato la più grande raffineria di petrolio in Iraq.
Poiché il ransomware riduce notevolmente il costo e il rischio per chi attacca, questo tipo di minaccia può affermarsi nel futuro come una valida alternativa all'occupazione fisica di edifici e o alla presa di ostaggi reali.

L'uso geopolitico del ransomware è quindi una minaccia asimmetrica. Gli attori, statali e non, più poveri e con meno connessioni sono in grado di usare il Cyber Crime per far sentire il loro peso e forzare concessioni da parte degli Stati più potenti.

Si tratta quindi di una lotta impari: Paesi come l'Iran e la Corea del Nord, con infrastrutture meno moderne, hanno meno da perdere dal congelamento dei loro sistemi critici rispetto alle controparti occidentali, ricche di obiettivi, poiché, in quanto Stati più piccoli e poco attrezzati, sono meno dipendenti da internet nelle loro attività quotidiane. Di conseguenza, una sorta di contro attacco cyber avrebbe meno valore.

Condurre attacchi ransomware richiede un addestramento complesso di base per le operazioni informatiche e un'infrastruttura internet solida ma la barriera per acquisire questi prerequisiti è relativamente bassa. Possiamo aspettarci sempre di più che molti di questi attori si cimentino in questo campo, specialmente ora che è risaputo che il ransomware paga: rischio minimo, massimo profitto.

Man mano che la fonte della ricchezza si sposta altrove - ossia che i beni più preziosi dei Paesi passano dal regno fisico a quello virtuale, «Data is the new Oil», i dati sono il petrolio di oggi, anche le armi si adatteranno di conseguenza. Competenze e tecnologie di Cyber Security potrebbero veramente fare la differenza; sono le vere armi di questo teatro di scontro. Non abbassiamo la guardia.

I più letti

avatar-icon

Pierguido Iezzi