I criminali informatici sono diventati imprenditori

La scorsa settimana il gruppo criminale BlackCat, noto anche come ALPHV, ha pubblicato 698 megabyte di dati rubati all’università di Pisa. All’interno ci sono l’elenco dei beni dell’ateneo, i numeri di telefono dei docenti, i loro piani ferie, le informazioni sullo smart working e sulle timbrature all’entrata e all’uscita dal lavoro, diverse coordinate bancarie. È soltanto una parte dei dati – probabilmente la meno rilevante – sottratta dai criminali che hanno chiesto un riscatto di 4,5 milioni di dollari. Il recente furto all’università di Pisa è uno dei più gravi compiuti contro un’istituzione italiana, per quantità e qualità dei dati rubati e per valore del riscatto richiesto.

Anche in questo caso, come era già successo negli attacchi contro ospedali e grandi aziende come Ferrovie dello Stato, la gestione delle operazioni è stata efficace: è la dimostrazione di come i gruppi criminali siano sempre più organizzati grazie a un modello che si può definire imprenditoriale, redditizio per loro e pericoloso per aziende e istituzioni. Di fatto, nonostante in un certo radicato immaginario l’hacker sia un individuo solitario al lavoro davanti a uno schermo (con scritte verdi su sfondo nero, spesso), il crimine informatico si è evoluto al punto da diventare un vero mercato con le sue aziende, i suoi consulenti, un sistema di reclutamento per le assunzioni e di distribuzione dei ricavi.

Anche l’attacco all’università di Pisa, come molti altri, è stato organizzato con un ransomware, un software che consente di rubare dati e tenerli bloccati con l’obiettivo di chiedere un riscatto. Il ransomware è un attacco informatico piuttosto efficace perché causa molti danni, non servono grandi strumenti per organizzarlo e consente ai criminali di rischiare poco: scoprire gli autori di questo tipo di attacchi è complicato.

Se il riscatto viene pagato, i criminali avranno raggiunto l’obiettivo, altrimenti potranno cercare di rivendere i dati al miglior offerente. Nei giorni scorsi, per esempio, BlackCat ha cercato di vendere i dati rubati all’università su un forum russo a un prezzo di un milione di euro, un tentativo che secondo diversi esperti serviva esclusivamente per mettere pressione ai vertici dell’università. Dopo 24 ore i dati sono stati rimossi dal forum russo, ma tra venerdì e sabato ne è stata pubblicata una parte nel data leak site, il sito dove i criminali pubblicano i dati in caso di mancato pagamento del riscatto. I sistemi di sicurezza dell’università, invece, pare abbiano risposto bene al tentativo di bloccare i servizi, che sono rimasti offline soltanto per qualche ora.

– Leggi anche: In Italia si sa sempre pochissimo degli attacchi informatici

BlackCat è un gruppo criminale che lavora secondo un modello chiamato SaaS, acronimo di “Software-as-a-service”, lo stesso utilizzato da molte grandi aziende che hanno messo sul mercato sempre più prodotti accessibili via browser, senza la necessità di doverli scaricare o installare. Da anni ormai questo modello è utilizzato per moltissimi servizi, dalle mail agli editor di foto, con vantaggi per i clienti per via dei costi contenuti e della relativa facilità di manutenzione e aggiornamento. La formulazione “as-a-service” si è adattata facilmente a moltissime cose: storage as-a-service, security as-a-service, backup as-a-service, disaster recovery as-a-service, desktop as-a-service.

I gruppi criminali hanno capito in fretta i vantaggi di questo modello e hanno deciso di utilizzarlo per organizzare attacchi sempre più ambiziosi: per questo si parla di RaaS (ransomware as-a-service) e AaaS (access-as-a-service). Il ransomware as-a-service consente a tutti gli hacker affiliati di avere a disposizione una serie di servizi a pagamento, a partire dal software necessario per bloccare i dati e rubarli, fino alla gestione delle negoziazioni con l’istituzione attaccata. La fornitura del ransomware, tuttavia, non è l’unica parte importante dell’impresa: in ogni passaggio e in ogni livello dell’organizzazione lavorano persone con un alto livello di specializzazione nel loro campo, esattamente come nelle divisioni o nei reparti di un’azienda.

Un’operazione come l’attacco all’università di Pisa inizia con un individuo o una squadra di hacker incaricata di verificare se i sistemi informatici siano vulnerabili, oppure se esistano all’interno dell’istituzione dipendenti o collaboratori disponibili a fornire un accesso ai criminali. Questo tipo di servizio si chiama Iab, Initial access broker, e sembra essere molto accessibile sul mercato.

Kaspersky, un’importante società russa che si occupa di sicurezza informatica, ha analizzato quasi 200 post sul dark web – quella parte di Internet non accessibile attraverso i normali browser come Chrome e Safari e i motori di ricerca come Google – per capire quali servizi si trovino online e a che prezzo. La maggior parte dei post vendeva l’accesso a un pc di un’azienda, cioè la possibilità di connettersi a un computer interno, accedere e controllare i dati esattamente come un dipendente farebbe da remoto. Una volta ottenuto l’accesso all’infrastruttura dell’organizzazione, la persona che è riuscita a ottenerlo può venderlo ad altri criminali informatici, come gli operatori di ransomware.

Il costo di questo servizio dipende dal fatturato dell’istituzione o dell’azienda e può variare da poche centinaia di dollari fino a centinaia di migliaia: gli esperti di Kaspersky hanno trovato in vendita i dati di un’azienda con un fatturato di 465 milioni di dollari a un prezzo di 50mila dollari, ma generalmente l’accesso costa tra i 2.000 e 4.000 dollari, cifre abbastanza contenute. Più le possibilità di ottenere un riscatto sostanzioso sono alte, più alto è il valore dell’accesso iniziale. «La comunità dei criminali informatici si è evoluta non solo dal punto di vista tecnico, ma anche dal punto di vista organizzativo. Oggi i gruppi di ransomware assomigliano più a vere e proprie aziende con servizi e prodotti in vendita», ha detto Sergey Shcherbel, esperto di sicurezza di Kaspersky.

L’attacco gestito da un Initial access broker mantiene un basso profilo, magari in due o tre computer dell’azienda o dell’istituzione colpita, perché l’obiettivo è conservare gli accessi per poi metterli in vendita sul mercato. Nel passaggio successivo vengono coinvolti i gruppi che hanno sviluppato il ransomware as-a-service, che mettono cioè a disposizione il software per bloccare e rubare i dati.

I fornitori di questo servizio ottengono un guadagno che solitamente si basa su una percentuale del riscatto. Questo meccanismo ha creato una certa competizione tra i diversi RaaS sul mercato: fino a qualche tempo fa la percentuale richiesta dai gruppi RaaS era molto alta, anche il 50 per cento dei proventi, mentre BlackCat sembra prediligere la competitività arrivando a chiedere fino al solo 10 per cento dei proventi dell’estorsione. Tra le altre cose, i RaaS possono offrire anche servizi dedicati come la personalizzazione del software e il supporto in altre fasi dell’attacco, come la gestione del sito dove pubblicare i dati rubati.

– Leggi anche: Perché la sanità è così vulnerabile agli attacchi informatici

Una parte molto importante degli attacchi è la gestione della negoziazione. A seconda del livello di specializzazione raggiunto dagli hacker che eseguono l’attacco può essere affidata a gruppi o soggetti esterni, specializzati nelle trattative, che si possono considerare veri consulenti aziendali. Nel caso dell’attacco all’università di Pisa è stato scelto un meccanismo a doppia estorsione, ormai prevalente negli attacchi informatici, perché oltre a bloccare i servizi dell’università c’è stato anche un furto di dati personali che i criminali minacciano di diffondere se il riscatto non verrà pagato.

Mercoledì scorso sul sito di BlackCat è stato pubblicato un messaggio (scritto in un italiano piuttosto incerto) con l’obiettivo di fare pressione sui vertici dell’università. «Abbiamo parlato ieri con il tuo rettore, Masimo Aguela (in realtà il rettore si chiama Paolo Maria Mancarella, ndr). Ci ha chiarito che oggi i negoziati (22/06/22) inizieranno tra noi e l’Università. Ma ahimè, nessun progresso oggi. Possiamo vedere che gli studenti sono preoccupati per l’incidente e non vogliamo ferirli. Ecco perché non stiamo ancora pubblicando i dati sul nostro blog, perché potrebbe ferirli. Il che non vuol dire degli insegnanti. Stiamo dando a questa situazione un’ultima possibilità per una risoluzione costruttiva». Nella notte di venerdì, infine, è stata pubblicata una prima parte dei dati, ma al momento sono stati risparmiati quelli degli studenti, probabilmente ritenuti più preziosi.

Negli ultimi due anni gli attacchi sono aumentati in modo significativo in Italia e nel mondo anche a causa dei RaaS che, per usare un termine del lessico aziendale, hanno reso il sistema degli attacchi informatici “scalabile”: cresce, cioè, in funzione della disponibilità e dell’efficacia. I proventi hanno garantito uno sviluppo notevole dei ransomware e in generale del modello estorsivo: oltre alla classica doppia estorsione, infatti, ci sono altri livelli che hanno portato gli esperti a parlare di tripla o quadrupla estorsione.

«Al blocco e al furto dei dati, alcuni gruppi criminali hanno aggiunto ulteriore pressione con attacchi DDoS», spiega Pierluigi Paganini, esperto di cyber security e intelligence. Un attacco DDoS, acronimo di Distributed Denial of Service, consiste in una notevole richiesta di accessi contemporanei a un sito internet in modo da saturare il sistema e renderlo irraggiungibile. «Il quadruplo modello di estorsione consiste nell’aggiunta di un livello ulteriore: i criminali contattano aziende o soggetti partner delle organizzazioni colpite minacciando la pubblicazione di dati che li riguardano», continua Paganini. «Un altro modo per fare pressione è la minaccia di pubblicare i dati rubati non nel dark web, non indicizzabile, ma in chiaro. In questo modo si rendono tutte le informazioni indicizzabili sui motori di ricerca, a disposizione di chiunque, con un danno enorme».

La possibilità di organizzare questo tipo di estorsioni, fino a pochi anni fa riservata a pochi gruppi criminali, è aumentata negli ultimi anni proprio grazie ai RaaS, che hanno permesso anche a persone con competenze informatiche di livello intermedio di accedere a servizi che richiedono un notevole livello di sviluppo e moltissimo lavoro di preparazione.

È stato possibile perché i gruppi criminali possono contare su professionalità che reclutano sul mercato, esattamente come un’azienda. «Più gli attacchi hanno successo, più i gruppi possono finanziarsi e reinvestire i proventi», spiega Alberto Pelliccione, amministratore delegato di ReaQta, azienda che si occupa di sicurezza informatica. «Quando qualche mese fa sono stati diffusi i messaggi scambiati tra i membri di Conti, un gruppo ransomware, è emersa una parte molto interessante sulla gestione delle risorse umane: alcuni componenti del gruppo avevano il compito di cercare nuovi potenziali affiliati sui forum specializzati. Lo stesso fanno altri gruppi che propongono stipendi paragonabili a quelli offerti da un’impresa. Inoltre quando un gruppo si spacca, oppure dopo un’operazione di polizia, le altre organizzazioni criminali si contendono i professionisti più bravi. Ormai i gruppi RaaS sono strutturati perché c’è la necessità di fare continuo sviluppo e di affinare gli attacchi».

L’analisi dei messaggi interni al gruppo Conti ha permesso di individuare alcuni comportamenti tipici di un’organizzazione aziendale: il lavoro dei criminali si concentra dal lunedì al venerdì e in poche ore durante la giornata, dalle 12 fino alle 18. Inoltre i dipendenti migliori vengono pagati con un premio di produttività, mentre chi non rispetta il piano delle performance stabilito dai vertici viene sanzionato oppure licenziato.

Alcuni criminali hanno trovato anche il modo per pagare le tasse, in un certo senso: molti gruppi, infatti, hanno base in Russia dove le forze dell’ordine generalmente ignorano coloro che si infiltrano nelle reti informatiche di aziende straniere perché gli hacker sono considerati più una risorsa che una minaccia. «I criminali non fanno la dichiarazione dei redditi, ma una tassa la pagano: sicuramente esiste uno scambio tacito di informazioni tra i gruppi criminali e l’intelligence russa», dice Pellicione. «Le forze dell’ordine lasciano operare quando sanno di poter ottenere informazioni che hanno valore».

Con questo sistema così organizzato e articolato è molto difficile studiare una difesa per impedire gli attacchi. Tra gli esperti è ormai opinione condivisa che il punto non sia più cercare di proteggersi da un attacco informatico, ma prepararsi al meglio a limitare i danni: individuare il prima possibile la minaccia, mantenere operativi i servizi, recuperare l’infrastruttura informatica in breve tempo. Diversi tra i gruppi criminali più noti, d’altronde, hanno budget più consistenti rispetto alle risorse economiche stanziate dalle grandi aziende nei loro reparti di sicurezza informatica.