L’attacco sarebbe partito da Microsoft Teams: gli aggressori hanno contattato dipendenti, avviato condivisioni schermo, raccolto credenziali e manipolato l’autenticazione a più fattori. Una volta entrati, hanno usato strumenti legittimi di accesso remoto, arrivando fino ai sistemi critici, quindi hanno installato componenti malevoli. Fin qui la scena sembrava quella consueta del ransomware: furto di dati, minacce, estorsione, pubblicazione sul portale dei criminali. Tuttavia, secondo Rapid7 e BleepingComputer, rispettivamente azienda di cybersecurity e testata online molto nota, questa operazione che sembrava riconducibile al gruppo ransomware Chaos mostrerebbe invece indizi compatibili con MuddyWater, gruppo iraniano sponsorizzato dal governo di Teheran e specializzato in spionaggio. L’attribuzione non è certa, ma viene indicata con moderata confidenza. Se così fosse la storia cambia natura. Più che un’operazione criminale per ottenere un riscatto, l’attacco diventa una campagna di spionaggio, persistenza e posizionamento dentro i sistemi della vittima. La lezione per chi non vive di log, alert e acronimi è semplice: il ransomware non è più soltanto un modello criminale per fare soldi, ma un diversivo. Questa è la vera trasformazione. Nel cyberspazio non si combatte soltanto per entrare nei sistemi, ma anche per decidere quale storia racconterà l’attacco. Se sembra criminalità comune, l’attribuzione geopolitica diventa più faticosa. Se tutti guardassero alla richiesta di riscatto, qualcuno potrebbe non vedere la persistenza. Se l’incidente viene letto come un furto, si rischia di non riconoscere una ricognizione. È una forma di guerra narrativa applicata alla sicurezza informatica. Non basta violare una rete: bisogna suggerire al difensore una spiegazione comoda, plausibile e possibilmente sbagliata. In fondo, siamo biologicamente poco attrezzati per questo mondo oltre lo schermo. Nel mondo fisico una maschera desta sospetto; in quello digitale, spesso, ci tranquillizza perché ci offre una categoria già pronta. Questa vicenda mostra che la distinzione tra cybercrime e operazioni statuali sta diventando sempre meno pulita. Non perché siano la stessa cosa, ma perché gli attori statuali possono prendere in prestito strumenti, rituali e marchi del cybercrime. Allora il problema è che da oggi un’organizzazione colpita non può limitarsi a chiedere “quanto vogliono di riscatto?”, ma deve anche domandarsi “perché vogliono che pensiamo che il problema sia questo?”.
Seguici su
La Rubrica – Cyber Security Week