L'hacker colpisce una volta e ne educa altri 100

"Unum castigabis, centum emendabis". Arriva dal latino e significa "punire uno per educarne cento", poi Mao Zedong si appropriò del detto. Oggi è lo standard per le organizzazioni criminali, per la semplice ragione che l'economia dello sforzo regola le loro azioni, ma partiamo dalla cronaca. Alla vigilia del week end del giorno del ringraziamento Kaseya, società statunitense che offre servizi di monitoraggio della rete a centinaia di aziende, ha ammesso un possibile attacco ai suoi sistemi. Questo dopo che un suo cliente svedese aveva dovuto sospendere l'attività dei suoi punti vendita perché un ransomware si era infiltrato nella sua rete.

Ci sono alcuni aspetti di questa vicenda da valutare. In primo luogo il tema dei servizi erogati da terzi parti che per i criminali oggi si presentano come il SPOB: Single Point Of Business. Per le organizzazioni criminali si è trattato di modificare un modello di business che per anni si è rivolto al mercato consumer con campagne di phishing indifferenziate. Milioni di email venivano inviate e bastava che una minima percentuale degli obiettivi cadessero nella trappola per fare una montagna di soldi. Nel tempo questo modello si stava rivelando meno profittevole, quindi ecco il cambiamento: non più da molti a uno, ma da uno a molti.

Ovviamente per applicare questo schema è necessario un "investimento" perché normalmente i fornitori di servizi informatici sono molto più strutturati in termini di sicurezza rispetto alla singola azienda e ancora di più rispetto al singolo utente. Tuttavia la criminalità è sempre pronta a imparare e casi come quello SolarWinds le hanno insegnato come riuscire a colpire un grande fornitore di servizi informatici possa aprire le porte a centinaia di "clienti paganti". Su queste premesse il criminale può fare un investimento anche nel mondo reale, magari corrompendo un dipendente insoddisfatto, un tecnico sottopagato o magari colpendo un fornitore distratto. Queste sono ipotesi, la realtà più autentica ci pone di fronte al solito problema: la maggior parte delle organizzazioni ancora non comprendono la loro pressoché totale dipendenza dalle tecnologie dell'informazione. Di certo possiamo dire che l'attacco a Kaseya non è stato un atto di guerra, ma un atto di lucro. Se un ransomware fosse utilizzato per un attacco deliberatamente perpetrato da uno Stato sarebbe soltanto l'inizio, probabilmente un diversivo, e il peggio dovrebbe ancora venire.