L’allarme è partito nel primo pomeriggio di lunedì, quando è emerso che i tecnici statali e della Polizia Postale avevano avviato un’indagine su un furto informatico di dati. Poi Swascan, società di cybersicurezza del gruppo Tinexta, ha fornito i dettagli: un noto gruppo di criminali si è impadronito di 100 gigabyte di dati dell’Agenzia delle Entrate e minaccia di renderli pubblici il primo agosto. Così Formiche.net ha raggiunto Pierguido Iezzi, ceo e fondatore di Swascan, per fare luce su quanto sappiamo finora e sui rischi legati agli attacchi ransomware.

Dottor Iezzi, cosa sappiamo della rivendicazione dell’attacco di LockBit?

Durante una regolare attività di monitoraggio del dark web, tramite la nostra tecnologia proprietaria di threat intelligence, il nostro team ha ricevuto un alert della pubblicazione da parte della gang ransomware LockBit 3.0 di una richiesta di riscatto – con annesso countdown, pena la pubblicazione dei dati sottratti – diretta verso l’Agenzia delle entrate.

Come hanno fatto a mettere le mani sui dati?

Sogei (che gestisce la protezione dell’Agenzia delle Entrate, ndr) ha dichiarato che dalle prime analisi non risultano essersi verificati attacchi cyber, né sono stati sottratti dati dalle piattaforme e infrastrutture tecnologiche dell’Amministrazione Finanziaria. Dopodiché il direttore dell’Agenzia per la Cybersicurezza Nazionale, Roberto Baldoni, ha ipotizzato che la vittima dell’attacco possa essere stato un ente terzo. E le evidenze che circolano confermano questa teoria.

Dunque il ransomware non interessa solo le grandi organizzazioni.

Esatto, anche le piccole e medie imprese sono spesso colpite da questi attacchi. Certo sono casistiche che fanno meno rumore a livello mediatico, ma non si devono sottovalutare le implicazioni per le supply chain. Specie in Italia, dove il tessuto imprenditoriale si affida moltissimo alle eccellenze delle Pmi, una violazione di una singola azienda ben inserita all’interno della catena del valore potrebbe essere la prima goccia di un effetto a cascata dirompente. Abbattere il rischio non è un compito semplice.

LockBit ha già compiuto attacchi ransomware, anche in Italia. Cosa ci sa dire a proposito del gruppo?

LockBit 3.0, come suggerisce il nome, è la terza incarnazione di una gang di cyber criminali specializzati in questi attacchi. Nata nel 2019, è uno dei collettivi dediti al ransomware più attivi di quest’anno: secondo uno studio che abbiamo rilasciato la scorsa settimana, il 30.2% di tutti gli attacchi ransomware del secondo trimestre del 2022 sono da attribuirsi a questo gruppo. La sua natura decentralizzata e altamente efficiente gli ha permesso di affermarsi rapidamente, superando anche altri nomi noti in questo campo come la gang filo-Cremlino Conti.

Come ha fatto a crescere così velocemente?

Non dobbiamo sottovalutare l’ingegnosità di questi gruppi. LockBit in particolare ha adottato un approccio particolarmente accattivante per attirare potenziali “partner” criminali. Dal rebranding in 3.0 al fatto che si siano resi disposti a pagare fino a un milione di dollari via un programma di bug-hunting dedicato al proprio malware, questi criminali operano e pensano come una vera e propria azienda.

Esiste un collegamento tra LockBit e Mosca?

Non sono noti legami con il Cremlino e delle sue agenzie di intelligence, a differenza di altre gang. E la scelta di mantenere le distanze da qualsiasi attore statale, almeno per alcuni mesi, ha sicuramente facilitato le loro operazioni. Uno dei motivi che ha favorito l’ascesa di questo gruppo è stata proprio la decisione di non schierarsi nel conflitto che vede coinvolti Russia e Ucraina. A differenza di altri gruppi – come il citato Conti – LockBit ha rivendicato la propria apoliticità, arrivando addirittura a diramare un comunicato stampa durante i primi giorni del conflitto in cui dichiarava: “siamo tutte persone semplici e pacifiche, siamo tutti terrestri. Per noi è solo business e siamo tutti apolitici. Siamo interessati solo al denaro”.

Che implicazioni ha la minaccia ransomware per la sicurezza nazionale?

Da tempo il ransomware è la minaccia principale per organizzazioni pubbliche e private. Il suo potere distruttivo è elevatissimo. È in grado di paralizzare completamente qualsiasi sistema. Inoltre, visti i recenti sviluppi sul piano geopolitico, sarebbe sciocco non considerare come la connivenza tra cyber crime e cyberwar sia aumentata enormemente. Un attacco ransomware – anche se portato a segno da attori non ufficialmente schierati o senza alcuna motivazione politica – è comunque in grado di aumentare indirettamente la potenza di fuoco di un attore statale, proprio grazie alla quantità di dati messi in rete dai primi.

Dunque non si possono distinguere gli attori statali dai criminali motivati da guadagno?

Viviamo in una nuova realtà scomoda, dove il reame cyber è appannaggio di gruppi simili per modus operandi e tattiche. Questa area grigia rende ancora più difficoltoso il compito di rispondere a queste emergenze informatiche. Senza contare il rischio false flag, quelle operazioni di intelligence compiute ad hoc da governi e servizi segreti e progettate per apparire come perseguite da altri enti e organizzazioni.

Cosa si può fare per prevenire gli attacchi di questo tipo?

È assolutamente necessario ripensare i paradigmi della sicurezza informatica, passando da sistemi di difesa statici e basati sul concetto di security by default and design a dei sistemi più flessibili che nascono sui pilastri della security by detection and reaction. È anche auspicabile un incremento della collaborazione pubblico-privato, specie in termini di cybersicurezza. Ci sono stati passi importanti su questo fronte negli ultimi mesi, ma c’è ancora molta strada da fare per garantire una solida resilienza digitale a livello nazionale.