Dietro l’attacco ransomware c’è REvil, collettivo hacker legato alla Russia. I dettagli fotografano la portata dell’emergenza cibersicurezza e sottolineano il potere distruttivo delle aggressioni informatiche contro le catene di produzione strategiche
Puntualmente, domenica sera gli autori del devastante attacco informatico che ha paralizzato 500 supermercati in Svezia e infettato centinaia di aziende si sono fatti vivi con una richiesta di riscatto, chiedendo l’equivalente record di $70 milioni in monero (l’alternativa più privata dei bitcoin) per restituire alle vittime l’accesso ai propri dati crittati.
Il meandro del dark web su cui è apparsa la richiesta è quello tipicamente utilizzato da REvil, il collettivo hacker che secondo gli analisti opera in Russia con il tacito assenso delle autorità. Questi corsari informatici sono ascesi alla notorietà internazionale dopo l’attacco ransomware ai danni del più grande produttore di carne al mondo, JBS, che ha recente ammesso di aver pagato $11 milioni di riscatto.
Gli hacker di REvil sembrano specializzarsi in aggressioni alle catene di produzione. Per quest’ultimo attacco i criminali hanno fatto irruzione nell’architettura cloud di VSA, un diffusissimo software di management aziendale dell’azienda statunitense Kaseya. Una volta ottenuto l’accesso alle infrastrutture dei clienti, gli hacker hanno scatenato un domino virtuale di irruzioni e attacchi in almeno diciassette Paesi, stando a quanto riportano l’agenzia di cibersicurezza ESET e Hacker News.
La particolarità dell’attacco di REvil è l’efficacia con cui ha coniugato il ricatto a fini economici con un modus operandi riscontrato in massicce campagne di spionaggio quali l’attacco a SolarWinds (dietro al quale si potrebbe celare il Cremlino) e quello ai server di Microsoft Exchange (a opera degli hacker cinesi). Tutte e tre le operazioni si sono servite di software “ponte” molto diffusi come cavalli di Troia, ottenendo accesso a una platea vastissima di potenziali vittime.
La cifra record richiesta per il riscatto potrebbe riflettere l’entità dei danni che l’attacco hacker (il cui impatto non è ancora chiaro) potrebbe causare. Oppure, come ha detto l’analista di Recorded Future Allan Liska a Reuters, forse REvil ha fatto il passo più lungo della gamba decidendo di crittare i dati di svariate centinaia di aziende in un colpo solo. In questo caso, quei $70 milioni di riscatto sarebbero un modo di girare a proprio favore una situazione sfuggita di mano.
A ogni modo, l’hackeraggio di Kaseya ha reiterato la dimensione crescente del problema cibersicurezza. L’Atlantic Council stima una crescita vertiginosa dei danni economici causati da questi ransomware (da $11,5 miliardi nel 2019 a $20 miliardi nel 2020) Se un collettivo hacker, agendo semi-indipendentemente, riesce a provocare danni su questa scala e interrompere le catene di produzione, si può solo immaginare cosa potrebbe causare l’azione di un Paese ostile.
Ne sanno qualcosa in India, dove a febbraio un attacco informatico mirato alle centrali elettriche ha paralizzato i venti milioni di cittadini di Mumbai. I treni si sono fermati, la borsa pure, gli ospedali hanno fatto ricorso ai generatori di riserva per tenere in vita i pazienti Covid attaccati ai respiratori (in piena ondata). Secondo gli ufficiali indiani e gli analisti di Recorded Future quel malware che ha fermato tutto proveniva dalla Cina. Al che gli esperti hanno sollevato un’ipotesi preoccupante: potrebbe essere stato un atto intimidatorio nel contesto delle tensioni sul confine tra i due Paesi.