Le città attaccate dagli hacker

Da una settimana i sistemi informatici di 22 città del Texas, negli Stati Uniti, sono parzialmente bloccati da un attacco informatico. Le città sono state colpite da un “ransomware“: un software malevolo (“malware”) che limita l’accesso ai dispositivi che infetta, rendendo necessario il pagamento di un riscatto (“ransom”, in inglese) per rendere di nuovo accessibili i file archiviati sui dispositivi.

Le conseguenze di questi attacchi sono molto pesanti: non funzionano più le mail del comune, la gestione delle multe o delle bollette, i servizi dell’anagrafe, i registri elettorali o qualsiasi altro tipo di attività comunale che, per esistere, si appoggia alla presenza di internet e di un dispositivo a esso collegato. Banalmente, anche solo prendere in prestito un libro dalla biblioteca comunale diventa un processo lento e macchinoso, da fare con carta e penna. Ma anche cose più importanti: pensate a questioni sanitarie, alle bollette che non arrivano e poi arrivano tutte insieme una volta che il sistema si sblocca, ai mancati pagamenti che non c’è più modo di tracciare; senza contare quello che può accadere se un attacco di questo tipo avviene qualche giorno prima di un’importante elezione.

Gli attacchi informatici con i ransomware e le successive richieste di riscatto sono sempre più frequenti negli Stati Uniti. Negli ultimi cinque anni sono stati colpiti quasi 200 sistemi amministrativi cittadini, provinciali o statali; e solo quest’anno ci sono già stati più di 40 casi. Senza contare gli attacchi alle aziende e a sistemi più piccoli, come una sola centrale di polizia, un ospedale o un distretto scolastico. Tra l’altro, non è detto che chiunque venga attaccato decida di renderlo noto, ma ovviamente la portata delle conseguenze per le città è tale che non possano nasconderlo.

Gli attacchi ransomware infettano interi sistemi in modo complesso, ma iniziano in modo molto semplice: basta che un impiegato collegato a un qualche sistema comunale apra la mail sbagliata e clicchi sul link sbagliato perché il software malevolo possa bloccare il suo computer e quelli collegati. Per chi viene attaccato, le opzioni sono due: pagare e sperare che gli hacker siano di parola; oppure non pagare e spendere molti soldi per ricostruire da capo i propri sistemi informatici. Qualche mese fa la città di Lake City, 12mila abitanti in Florida, scelse la prima strada e pagò a ignoti hacker 460mila dollari in bitcoin (una valuta virtuale difficile da tracciare): da allora alcuni suoi servizi sono tornati disponibili, ma non tutti. La città di Baltimora, nel Maryland, attaccata a inizio maggio, invece, si è rifiutata di pagare il riscatto di 76mila dollari e si pensa che abbia dovuto spendere almeno 5 milioni per rifare tutti i suoi sistemi.

Parlando dell’attacco alle 22 città texane, l’analista Allan Liska, che lavora per la società di cybersecurity Recorded Future, ha detto che non aveva mai visto «un attacco coordinato così grande» e che si aspetta che stia per iniziare una nuova fase in cui «vedremo sempre più attacchi di questo tipo». «È l’estate dei paralizzanti attacchi ransomware», ha scritto il New York Times.

Nella maggior parte degli attacchi avvenuti finora, i responsabili sono rimasti ignoti e quindi impuniti. Gli hacker gestiscono il tutto a distanza, nascondendo a dovere ogni traccia digitale. Si pensa che agiscano prevalentemente dalla Russia, dall’Europa dell’Est o dall’Iran, ma la NSA (National Security Agency) ha detto di avere motivi di credere che ce ne siano anche alcuni che operano dagli Stati Uniti. In alcuni casi sono state colpite grandi città – come Atlanta, la capitale della Georgia, che ha 500mila abitanti e l’aeroporto più trafficato del mondo, e ospitò le Olimpiadi nel 1996 – ma ora sono più frequenti gli attacchi a città più piccole, che si presume siano meno preparate e digitalmente aggiornate, oltre che più disponibili a pagare qualche decina di migliaia di dollari subito piuttosto che pensare di investirne molti di più per rifare tutti i propri sistemi informatici.

Gli attacchi ransomware stanno aumentando perché solo in pochi casi vengono scoperti i responsabili, e perché basta cambiare un po’ il tipo di software malevolo per renderlo nuovo e quindi difficile da prevenire e combattere. E poi perché, come in ogni caso di richiesta di riscatto, più le città scelgono di pagare gli autori degli attacchi e più questi hanno risorse e fondi per organizzarne di nuovi, così come più incentivi ci sono per fare altri attacchi. Chris Krebs – direttore della CISA, un’agenzia per la cybersecurity del governo statunitense – ha detto: «Negli ultimi anni il modello di business di chi fa attacchi ransomware si è dimostrato un successo».

La cosa più efficace da fare, per il momento, è occuparsi della prevenzione. Il dipartimento di Sicurezza nazionale statunitense ha invitato le amministrazioni e gli enti interessati a fare quello che dovrebbe fare anche ogni utente privato con il suo computer: costanti e approfonditi backup e tenerli disponibili offline, oltre ovviamente a rendere il più aggiornati e sicuri possibili i propri sistemi, per far sì che non basti un click sbagliato a un link sbagliato per aprire ai malintenzionati di turno tutte le porte possibili. Serve quindi fare anche formazione ai propri dipendenti, perché non aprano qualsiasi allegato si trovano sotto il naso. Nel caso delle 22 città attaccate in Texas si pensa, per esempio, che agli hacker sia bastato entrare nei sistemi di una singola amministrazione per poi avere accesso a un canale intercittadino usato per le comunicazioni di polizia, la cui struttura di base era gestita da un’azienda privata che non l’aveva aggiornato e protetto a dovere. Come dei ladri che entrano in una casa vuota e senza antifurto, ci trovano le chiavi di altre 20 case e possono entrarci e chiudercisi dentro.

Un altro modo che città, enti e amministrazioni hanno per provare a cautelarsi in caso di un attacco è comprare quelle che il New York Times definisce «cyber-assicurazioni». Con l’aumentare degli attacchi sono infatti nate apposite assicurazioni, che sempre più città stanno sottoscrivendo. Il problema, secondo Kimberly Good, manager dell’agenzia di analisi di reati finanziari FireEye, è che «gli hacker stanno puntando in modo specifico chi ha sottoscritto le assicurazioni»: è infatti molto più semplice e conveniente, per chi è assicurato, scegliere di pagare. FireEye, tra l’altro, ha detto che in un anno gli attacchi ransomware di cui si è occupata sono raddoppiati. Abbiamo contattato il ministero dello Sviluppo economico per sapere se e come l’Italia si stia attrezzando per prevenire questo problema ma non abbiamo ancora avuto risposta.