Il 23 marzo scorso, un attacco hacker ha colpito la rete informatica di Trenitalia, bloccando il funzionamento delle biglietterie fisiche e causando altri disagi. Come si è scoperto fin da subito, l’azienda ferroviaria italiana è rimasta vittima di un attacco ransomware. Soprattutto nell’ultimo anno, questo tipo di violazione informatica ha colpito molte compagnie in tutto il mondo, causando pesanti perdite. Inoltre, con la situazione geopolitica attuale, i costanti cyberattacchi vengono ricondotti a gruppi di hacker russi, che colpirebbero per conto del proprio governo. Ma è davvero così?
Leggi anche: Truffe online: i reati informatici al tempo del Covid-19.
Cos’è un attacco ransomware: definizione e statistiche
Prendendo la definizione di Wikipedia, un ransomware è «un tipo di software malevolo che limita l’accesso del dispositivo che infetta, richiedendo un riscatto, in inglese ransom, da pagare per rimuovere la limitazione». Nella pratica, questo tipo di attacco cripta tutti i file di un’azienda o di un ente, impedendo che siano utilizzati. L’unico modo di sbloccarli è quello di pagare un riscatto, di solito in bitcoin o altre criptovalute, così che gli hacker possano restare anonimi.
Nella quasi totalità dei casi, lo scopo di questi attacchi è l’estorsione ed è il motivo per cui le violazioni colpiscono grandi compagnie e aziende. Ad esempio, la Regione Lazio a luglio 2021, Mediaworld tra il 7 e l’8 ottobre scorso, seguita qualche giorno dopo da Siae. Fino ad arrivare, per l’appunto, all’attacco a Trenitalia di pochi giorni fa. Questo per quanto riguarda il territorio nazionale, ma il fenomeno è globale e ransomware di vario tipo hanno colpito, tra le altre, compagnie come Microsoft, Ikea, Nvidia, Samsung.
Un trend in costante aumento, come evidenziato da Panda Security, azienda spagnola specializzata nella sicurezza informatica. In un report consultabile sul proprio sito, si può vedere come il fenomeno sia un problema che va preso in seria considerazione. Nel 2021 gli attacchi ransomware sono aumentati del 151% rispetto al 2020, anno in cui sono state segnalate trecentoquattro milioni di violazioni a livello globale. Gli esperti stimano, inoltre, che nel 2021 sia stato portato a termine un attacco ransomware ogni undici secondi. E pensare che questo tipo di violazione costituisce solo il dieci per cento del totale dei cyberattacchi.
Hive Group e gli altri: i ransomware più pericolosi del momento
I dati appena citati dimostrano che gli attacchi ransomware non sono episodi sporadici e che dietro ci sono delle organizzazioni ben strutturare. Delle vere e proprie aziende informatiche orientate al business dell’estorsione, con tanto di campagna di reclutamento e “portafoglio clienti”. È questo il caso di Hive, il ransomware responsabile dell’attacco a Trenitalia. Questo gruppo di hacker è attivo da giugno 2021 e, nelle ultime settimane, è stato segnalato dall’FBI come uno dei gruppi da cui è più difficile difendersi. Ha un suo sito consultabile nel dark web, Hive Leaks, dove, come trofei, sono riportati i nomi delle aziende colpite.
Un altro temibile gruppo è AvosLocker, un ransomware comparso a luglio 2021 e che promuove campagne di affiliazione sul dark web. Come per Hive, anche questo gruppo è specializzato in negoziazione ed estorsione. C’è poi LockBit 2.0, primo indiziato dell’attacco informatico del luglio scorso ai sistemi della Regione Lazio. Questo gruppo pubblicizza e sponsorizza sul web i propri strumenti di attacco, garantendo la crittografia più veloce sul mercato.
In aggiunta, ci sono hacker che sostengono Putin, come nel caso del gruppo Conti. La fama di questa gang non è dovuta soltanto all’alta frequenza dei suoi attacchi, ma anche per un leak che la ha coinvolta. In seguito alle dichiarazioni di sostegno al presidente russo da parte del gruppo, un ricercatore ucraino ha diffuso decine di migliaia di conversazioni interne alla rete di cybercriminali. Questo, oltre a fornire materiale utile per gli analisti, ha impedito temporaneamente agli hacker di riscuotere i pagamenti derivanti dai ransomware.
Leggi anche: L’attacco hacker alla Regione Lazio: il punto della situazione.
La Russia dietro agli attacchi ransomware: realtà o suggestione?
L’attacco hacker a Trenitalia ha fatto subito pensare a una probabile azione russa volta a colpire l’Italia. Avendo appoggiato le sanzioni inflitte alla Russia per la guerra in Ucraina, il nostro Paese è finito sulla lista nera dei nemici dello Stato stilata dal Cremlino. Inoltre, l’attacco ha colpito un’importante infrastruttura pubblica e non un’azienda privata. La stessa cosa era successa per l’attacco alla Regione Lazio e, anche in quel caso, si era parlato, in un primo momento, di un attacco terroristico da parte di hacker russi.
Il parere degli esperti, però, non conferma questa pista. Nella realtà dei fatti, è difficile determinare il punto di origine degli attacchi, visto che, per non essere tracciati, gli hacker passano da diversi server in tutto il mondo prima di colpire. Inoltre, le reti di cybercriminali sono internazionali e si coordinano tramite piattaforme presenti sul dark web, che sono difficili da intercettare.
Un altro aspetto da considerare è la tipologia di violazione usata. Come scrive Michela Rovelli sul Corriere della Sera, nel caso degli attacchi alle agenzie governative ucraine da parte degli hacker russi, la strategia usata è stata di tipo DDoS (Denial of Service). Questa modalità prevede una massiccia ondata di traffico fasullo, in modo da bloccare i sistemi per le troppe richieste simultanee. Una violazione del tutto differente dalle finalità degli attacchi ransomware.
Perché si pensa che molti attacchi hacker siano di origine russa?
Soprattutto in questo ultimo mese, i media hanno riportato spesso di attacchi informatici indirizzati all’Ucraina, come quelli che hanno colpito gli enti governativi di Kiev pochi giorni prima dell’invasione da parte dell’esercito russo. Le violazioni sono state continue e hanno mandato offline diversi siti del governo e un paio di importanti banche ucraine. Come riportato nell’articolo di Rai News del 19 febbraio, il ministero degli Esteri inglese e gli Stati Uniti hanno accusato subito l’intelligence russa di attacchi mirati all’Ucraina in preparazione a una imminente invasione.
Come prevedibile, Vladimir Putin ha sempre rigettato queste accuse, affermando che siano solo campagne di disinformazione per danneggiare l’immagine della Russia. Il presidente russo ha ribadito più volte che il Cremlino non è direttamente responsabile degli attacchi hacker e che non ci sono prove concrete che leghino il governo ad attività informatiche illecite.
Queste accuse, però, non sono nuove. Secondo quanto affermato da Federico Ferronetti in un articolo per CyberSecurity360 del settembre scorso, «gli attacchi sembrano originare prevalentemente da un numero ristretto di nazioni, quali Cina, Corea del Nord e Russia.» Questo avverrebbe con il benestare dei governi, i quali sono accusati di proteggere, se non di favorire, gli hacker. L’articolo riporta, inoltre, le dichiarazioni di Karen Kazaryan, Ceo dell’Internet Research Institute di Mosca. Il fondatore dell’istituto afferma che i cybercriminali residenti in Russia non sono soggetti a controlli da parte delle autorità federali, a patto che non attacchino enti russe o nazioni amiche.