Gli attacchi per riscatto rappresentano “il modello prevalente”, utilizzato anche da attori statuali, spesso delegando a gruppi criminali. I dati dell’anno scorso raccontano l’urgenza di tutelare i servizi essenziali, anche alla luce della guerra in Ucraina
Il Ransomware-as-a-Service rappresenta il “modello di attacco prevalente” nelle azioni cyber di matrice criminale. È quanto scrive il Dipartimento delle informazioni per la sicurezza nella Relazione annuale dell’Intelligence relativa all’anno 2021. In passato, l’attacco era “unicamente riconducibile alla crittografia dei dati e dunque alla conseguente indisponibilità degli stessi a tempo indeterminato”; nel corso dell’ultimo anno è però emersa la cosiddetta doppia estorsione, che consente a chi attacca di “massimizzare la possibilità di ottenere il riscatto facendo leva anche sul danno derivante dalla possibile divulgazione” dei dati.
Così i cosiddetti Organismi informativi riassumono efficacemente il Ransomware as-a-Service:
“basato sull’interazione tra due soggetti; da un lato, gli sviluppatori dell’arma digitale e, dall’altro, parti terze che, dopo aver condotto attacchi nei confronti dei target d’interesse, cedono ai primi una parte degli introiti illeciti eventualmente ottenuti”.
È stato rilevato, inoltre, il ricorso da parte degli attori statuali a questo tipo di armi digitali. Le finalità sono “differenti da quelle estorsive”, si legge nella relazione: lo scopo è “bloccare attività produttive ovvero occultare tracce di precedenti attività di spionaggio”. Inoltre, è stato registrato “il ricorso dei medesimi attori anche a gruppi cyber-criminali per delegare a questi ultimi l’esecuzione di operazioni di spionaggio ovvero lo sviluppo di alcune armi digitali, allo scopo di introdurre un ulteriore strato di anonimizzazione, così da rendere ancora più difficoltosa l’attribuzione di quelle attività”.
Guardando alle tipologie di attori ostili nel 2021 si è assistito a un’inversione di tendenza: da una parte il sensibile calo delle attività di matrice hacktivista rispetto all’anno precedente (23% del totale), anche in ragione di possibili mutamenti che hanno interessato l’organizzazione interna al collettivo Anonymous Italia; dall’altra una sensibile crescita (+18 punti percentuali) rilevata anche con riferimento alle azioni di matrice statuale, che si sono attestate al 23% del totale. In costante aumento sono state, infine, le azioni di matrice non identificabile (40%) ascrivibili al ricorso, da parte di attori di varia natura, a strumenti offensivi liberamente reperibili o distribuiti su mercati digitali paralleli, sovente presenti nel deep e dark web.
Le attività cyber ostili effettuate contro assetti informatici rilevanti per la sicurezza nazionale nel corso del 2021 hanno continuato a interessare prevalentemente le infrastrutture informatiche della Pubblica amministrazione (69%, in diminuzione di 14 punti percentuali rispetto al 2020), recita il rapporto. Le azioni in danno di obiettivi pubblici hanno riguardato perlopiù Amministrazioni centrali dello Stato (56%, valore in aumento di oltre 18 punti percentuali rispetto all’anno precedente) e infrastrutture IT riferibili a enti locali e strutture sanitarie (per un complessivo 30% sul totale). Gli attacchi nei confronti dei soggetti privati hanno interessato prevalentemente i settori energetico (24%, in sensibile incremento rispetto allo scorso anno), dei trasporti (18%, in aumento di 16 punti percentuali) e delle telecomunicazioni (12%, in crescita di 10 punti percentuali rispetto al 2020).
“Alla luce dei dati della Relazione, i ransomware che bloccano l’erogazione dei servizi essenziali devono essere considerati al più presto come una minaccia per la sicurezza nazionale, al di là di chi sia l’attaccante e per quali scopi agisca”, dichiara l’avvocato Stefano Mele, partner e responsabile della cybersecurity dello Studio Gianni&Origoni, a Formiche.net. “Da ciò devono discendere nuovi poteri sul piano normativo per far sì che il presidente del Consiglio dei ministri possa disporre, sentito il Comitato interministeriale per la sicurezza della Repubblica, ove ritenuto necessario, che venga attuata ogni misura proporzionata per il suo contrasto al fine di tutelare la sicurezza nazionale”.
Ciò, continua il legale, “è ancora più vero, importante e soprattutto urgente se guardiamo alla guerra in Ucraina, dove le ritorsioni sul piano cyber da parte del governo russo sono molto probabili a seguito della partecipazione sempre più in prima linea dell’Italia a supporto dell’Ucraina”.
Tant’è vero che nelle ultime ore, in relazione alla situazione geopolitica legata alla guerra in Ucraina, l’Agenzia per la cybersicurezza nazionale, diretta dal professor Roberto Baldoni, ha ritenuto necessario tornare a raccomandare un’altra a “tutti gli operatori di infrastrutture digitali nazionali di adottare una postura di massima difesa cibernetica”. In particolare, “risulta estremamente importante rendere operative tra quelle, tutte le misure di prevenzione e controllo più urgenti, quali le azioni finalizzate a ridurre le superfici di attacco esterne ed interne, la verifica che il controllo degli accessi ai sistemi sia implementato in maniera corretta, l’innalzamento dei livelli di monitoraggio delle infrastrutture IT, l’adozione dei piani per la preparazione e gestione di situazioni di crisi cibernetica, lo scambio informativo sia interno si esterno verso le articolazioni cyber di riferimento”, si legge in una nota.
