Grandi affari per gli hacker con le grandi aziende

Il fatto che il cyber crime paghi e anche piuttosto bene è noto da tempo. Tuttavia negli ultimi anni abbiamo assistito ad un cambiamento nelle modalità operative dei delinquenti e le cronache più recenti lo dimostrano ampiamente.

Fonti piuttosto attendibili sostengono che Garmin abbia pagato 10 milioni di dollari per riavere il controllo dei sui sistemi, mentre l'operatore di viaggi CWT (ex Carlson Wagon Lits) ne avrebbe versati 4,5. In entrambi i casi le aziende sono state colpite da ransomware e mentre sto scrivendo Canon si trova alle prese con una situazione analoga.

Se guardiamo a quello che in termini informatici è un passato remoto, diciamo dieci anni, non fatichiamo a renderci conto come i criminali abbiamo progressivamente cambiato approccio. All'epoca i ransomware venivano distribuiti attraverso massicce campagne di phishing con obiettivi indiscriminati: dal privato cittadino alla multinazionale. Tuttavia nel tempo questo tipo di tecnica si è dimostrata sempre meno redditizia perché la maggior parte dei privati non pagava e anche quelli disposti a farlo si trovavano i seria difficoltà con gli scambi in Bitcoin.

Tanto per dare un'idea, un gruppo criminale fu costretto a mettere in piede una chat per offrire consulenza alle proprie vittime sulle modalità di acquisto delle cryptovalute per pagare il riscatto. Le aziende, poi, riuscivano a cavarsela ricorrendo ai back up dei dati. Insomma quello degli attacchi indiscriminati era rapidamente diventato un ramo secco del "business". A quel punto la svolta, perché il criminale svolge una professione vera e propria e deve valutare sempre l'economia dello sforzo.

L'obiettivo primario diventano le aziende, ma l'attacco deve essere portato molto in profondità, quindi è necessario prima essere all'interno dei sistemi bersaglio. Così il phishing diventa la prima fase dell'aggressione attraverso cui si cercano di carpire credenziali di accesso o installare malware come le backdoor il cui scopo è aprire una canale di comunicazione nascosto. Una volta all'interno i criminali analizzano l'infrastruttura e cercano di acquisire i privilegi propri di chi la amministra. Soltanto quando avranno raggiunto questo primo obiettivo scateneranno il ransomware che si diffonderà ovunque senza possibilità di essere isolato e comprometterà anche i back up dei dati ed i sistemi utilizzati per garantire la continuità operativa il caso di disastro. In queste circostanze l'azienda può soltanto pagare o accettare la perdita di tutti i dati e un lungo periodo di tempo off line.

Si tratta dunque di crimini attentamente pianificati e la vittima viene valutata anche in funzione della sua capacità economica: così piccole e medie aziende si sono viste chiedere qualche decina di migliaia di euro di riscatto, che per le multinazionali si sono trasformati in milioni.