Attacchi hacker, da Dolomiti Energia alle Ulss venete ecco chi sono i cyber rapitori e come fanno i loro colpi: "Nel dark web software acquistabili per compiere i crimini"

TRENTO. Nelle ultime settimane sono stati diversi gli attacchi informatici che si sono susseguiti solo nel Nord Italia, a partire da quello che ha visto coinvolta l'Ulss 6 Euganea in Veneto (Qui Articolo) fino a quello che ieri ha comunicato in Trentino il gruppo Dolomiti Energia (Qui Articolo). Nel primo caso i cyber-criminali avrebbero richiesto un riscatto di 800mila euro per i dati di cui erano entrati in possesso, dando un ultimatum oltre il quale avrebbero iniziato a condividerli sul Dark Web. In quel caso la polizia postale avrebbe individuato e sequestrato l'origine dell'attacco, riconducibile ad un dominio uzbeko, ma la problematica è più che mai attuale e non potrà che diventare sempre più importante in futuro. Per approfondire la questione, il Dolomiti ha contattato Andrea di Nicola, criminologo, coordinatore di eCrime e direttore della centro di Scienze della Sicurezza e della Criminalità dell’Università di Trento e Verona.

Negli ultimi tempi si sono moltiplicati gli attacchi ai siti di enti pubblici (l'Ulss 6 in Veneto e Dolomiti Energia in Trentino per citare gli ultimi casi). Come mai?

Credo che ci siano una serie di concause. Innanzitutto va detto che è un processo naturale: siamo sempre più digitali e quindi è normale che anche la criminalità si sposti nel mondo virtuale. Ci sono però alcuni acceleratori di questa dinamica, come per esempio la pandemia: dalla strada molti criminali si sono spostati sull'autostrada digitale. A parer mio è una questione di opportunità che si incrocia con il fatto che tutte le attività delle realtà pubbliche e delle aziende si stanno spostando sul digitale, dal punto di vista della criminalità virtuale la pandemia è stata come una sorta di laboratorio. Prima pensavamo che solo gli informatici 'seri' potessero compiere crimini online, oggi invece sappiamo che non è sempre questo il caso. La barriera d'accesso si è abbassata e mentre la criminalità 'fisica' è calata abbiamo visto un aumento vertiginoso dei crimini virtuali.

Chi c'è dietro a questi attacchi? Si tratta di singoli individui o di criminalità organizzata? Arrivano dall'Italia o dall'estero?

Dietro a questi attacchi c'è di tutto. In generale gli studi ci dicono che questo tipo di criminale non è propenso a lavorare in gruppo. Vivono per la maggior parte in sottoculture criminali ma agiscono prevalentemente come singoli. L'ultimo rapporto di Europol sul tema conferma che il numero di grandi reti criminali strutturate dietro questi attacchi è abbastanza contenuto in Europa. Spesso si tratta di piccoli gruppi di specialisti oppure di hacker singoli che agiscono per esempio dai Paesi dell'Est Europa, lontano quindi dai loro bersagli principali. Un'altra dinamica in atto però è quella relativa al 'crime as a service', dove cyber-criminali con capacità limitate trovano sempre più software sviluppati da esperti per commettere crimini online. Comprano insomma un servizio per portare avanti intrusioni e attacchi. Si tratta di 'pacchetti' che si possono acquistare in internet, specie nel dark web. Forme di criminalità e reti complesse sono più rare e si trovano prevalentemente all'estero.

Come funzionano questi attacchi e quali sono le tipologie più utilizzate al momento?

Il ransomware è sicuramente l'attacco più in voga in questo momento perché funziona benissimo. Spesso però deriva dalla scarsa alfabetizzazione digitale di chi viene colpito: se si eseguono regolarmente back up sicuri dei propri dati per esempio, per un privato un ransomware non dovrebbe causare problemi. Con questo attacco informatico infatti i dati vengono bloccati e criptati, oppure addirittura rubati come nel caso dell'Ulss 6 in Veneto, in una sorta di riscatto digitale. È sicuramente questa la forma di criminalità che online va per la maggiore, forse anche perché sono aumentati i valori dei bersagli: per le grandi realtà la situazione può essere davvero critica se i dati vengono bloccati o diffusi. In ogni caso tutte le forme di criminalità informatica sono aumentate esponenzialmente, la domanda è capire se l'aumento sia solo sostanziale o se non sia aumentata anche la nostra soglia di attenzione in merito.

L'oggetto degli attacchi sono sempre più i dati sensibili, come vengono utilizzati dai criminali?

I cybercriminali rubano dati personali, sanitari, bancari, username e in generale tutto ciò che può poi essere riutilizzato e rivenduto per commettere delle frodi. Se il dato viene rubato esiste un mercato in cui rivenderlo, come ad esempio per i numeri delle carte di credito funzionanti o il nome, cognome e contatti di una persona che, se associati ad una fotografia, possono finire su un documento falso che permette tra gli altri l'acquisto di un cellulare. Sono due le motivazioni: oltre ad avere di per sé un valore infatti, il dato sensibile può diventare successivamente utile per ulteriori frodi. Nella maggior parte dei casi, circa l'80%, si tratta di informazioni che riguardano l'accesso ad home banking o in generale a questioni inerenti il denaro.

C'è chi paga il riscatto? Una volta consegnato il denaro i dati vengono restituiti e i sistemi rimessi in funzione?

Per quanto riguarda i privati, il riscatto molto spesso viene pagato, altrimenti queste forme di criminalità non andrebbero avanti. Nella stragrande maggioranza dei casi poi una volta ricevuto il pagamento la situazione si risolve. Una volta che sono stati rubati dei dati molto sensibili quasi chiunque sarebbe disposto a pagare, il problema è come si è arrivati a quel punto.

In generale come ci si può difendere? Le società si affidano a specialisti?

Da questo punto di vista c'è tanta attenzione all'aspetto tecnico-informatico e pochissima al fattore umano e alla sensibilità in ambito di cyber-sicurezza per privati ed aziende, che è il vero anello debole in questo settore. È vero che le grandi organizzazioni complesse di cyber-criminali sono difficili da colpire, ma la maggior parte dei casi non riguarda situazioni di questo tipo. Riguarda criminali meno specializzati che compiono azioni più 'semplici'. Per fare un esempio 'fisico': il portafoglio si tiene in tasca con attenzione, ma chi sta veramente attento ai siti che visita? Chi ha un anti-virus? Chi ha sistemi di difesa importanti e password sicure? Chi fa con regolarità un back up dei propri dati? C'è una mancanza di cultura sulla sicurezza informatica, si lasciano spesso porte aperte che non sono strettamente 'informatiche' e dobbiamo aumentare e diffondere il livello di consapevolezza di questi rischi. La nostra identità è sempre più smaterializzata e digitale: pensiamo per esempio alle nostre impronte digitali. Un tempo per 'prendercele' era necessario avere fisicamente il nostro dito, oggi le affidiamo a cellulari e computer senza sapere realmente chi le protegge e quali siano i rischi. Se un criminale serio riuscisse per esempio ad entrare in possesso delle impronte digitali di qualcuno, per quella persona sarebbero guai grossi. Per quanto riguarda la tecnologia in fondo siamo ad un buon livello, se ti affidi alla tecnologia giusta risolvi molti problemi, ma spesso la capacità e l'inventiva dei criminali sono più veloci. Oggi c'è bisogno di costruire una cultura trasversale e come Università noi siamo qui per dare in qualche modo una risposta alle domande del sistema Paese: se oggi dovessi costruire un nuovo corso di cyber-security non penserei solo alla tecnologia, quella è solo la base da cui partire. L'obiettivo dev'essere l'alfabetizzazione digitale della popolazione.