Di recente si sono verificati diversi casi di attacchi informatici a reti che gestiscono infrastrutture sia pubbliche che private, in tutto il mondo.
I tratti comuni di questi attacchi sono l’impatto sulla popolazione, la richiesta di riscatto e la capacità di bloccare e mettere in ginocchio intere infrastrutture per giorni e giorni, tanto da interessare anche i telegiornali ed i quotidiani.
Questo tipo di attacco non è di certo una novità, solo ultimamente però è cambiato il target da colpire, alzando, e di molto, il livello e la sofisticazione dell’attacco; c’è da constatare inoltre la grandissima efficacia degli attacchi, che colpiscono nomi altisonanti e la difficoltà massima di riuscire a punire gli autori.
I casi più recenti riguardano la Colonial Pipeline, il più grande oleodotto di carburanti raffinati di tutti gli USA. L’attacco ha prodotto difficoltà nel reperire carburanti ed il conseguente aumento di prezzo: immaginate per un attimo cosa significherebbe per una nazione come la nostra: si scatenerebbe il panico e il sistema dei trasporti verrebbe bloccato.
Colonial Pipeline ha dovuto pagare il riscatto (in Cryptovalute) per tornare alla normalità, anche se l’FBI è riuscita a recuperarne una parte.
In Italia sono già stati colpite infrastrutture private, ma anche il Comune di Rho, il Comune di Brescia, l’Azienda per la casa del Piemonte, oltre alla Axios, una società che fornisce il servizio di registro elettronico a diverse scuole: nessuno di questi enti ha pagato il riscatto, tuttavia per tornare alla piena operatività sono passate intere settimane.
Di recente sono stati preparati ed indirizzati alcuni attacchi specifici e mirati ai server di posta prodotti da Microsoft, denominati Exchange, diffusissimi in tutto il mondo e nelle PMI Italiane.
Gli attacchi sono finalizzati a bloccare le attività ed i dati per richiedere un riscatto, a seguito del quale, vengono (non sempre) consegnate le chiavi per sbloccare i dati ed i servizi, quindi non si tratta più del virus che rallenta il PC, ma l’obiettivo primario del criminale è quello di bloccare l’erogazione dei servizi (bloccare i trasporti, bloccare gli ospedali, bloccare le scuole, bloccare la produzione o le comunicazioni).
Per uscirne e tornare alla normale operatività è necessario eliminare dalla rete i server ed i PC compromessi sostituendoli con sistemi funzionanti e ripristinando i dati dalle copie di backup, ma in molti casi si tratta di operazioni lente e macchinose, quindi è richiesto tempo per tornare on line: finché si tratta di un ufficio il tempo di ripristino è un costo, ma quando si tratta di un ospedale il tempo di ripristino è un dato critico.
L’industria del ricatto informatico ha generato nel solo 2020 almeno 18 miliardi di dollari di riscatti ed è dominata da circa una ventina di organizzazioni, ognuna con il proprio ruolo nella filiera: chi si occupa dello sviluppo, chi della diffusione, chi dell’aggiramento delle protezioni delle vittime, chi dell’estorsione vera e propria, chi del supporto a chi deve svolgere materialmente l’attacco.
Uno dei modelli di questo tipo di organizzazione è Darkside, che ha attaccato Colonial Pipeline: noleggia i propri software agli affiliati, offre il proprio supporto (anche con chat in tempo reale) nel funzionamento e gli aggiornamenti.
Come funzionano? In molti casi basta una mail o la pagina web che contiene il link o la pubblicità infetta, in altri il sistema è un po’ più sofisticato e passa per la compromissione del protocollo di Desktop Remoto di Microsoft, largamente utilizzato.
L’unica soluzione è il controllo: è necessario operare una revisione periodica del funzionamento e delle misure di sicurezza adottate affinché siano in grado di respingere il controllo o, a seguito di una compromissione, si ripristinare i dati e di riprendere rapidamente il lavoro.
In questo senso il GDPR obbliga chi tratta dati personali a gestire correttamente le cose: essere conformi al GDPR significa riuscire ad evitare o minimizzare problemi di questo genere e vivere sereni.