Secondo Ferrovie sono stati rilevati elementi che potrebbero ricondurre a fenomeni legati a un’infezione da cryptolocker», software capaci di mettere sotto chiave dati e sistemi informatici in genere fino al pagamento di un riscatto, tipico degli attacchi «ransomware» in cui i russi eccellono.
Nella serata del 23 marzo, le Ferrovie dello Stato hanno perfino rilasciato un comunicato in cui si dice che: «Allo stato attuale non sussistono elementi che consentano di risalire all’origine e alla nazionalità dell’attacco informatico».
Nello stesso giorno dell’attacco però, a dispetto delle dichiarazioni di Trenitalia, tutti gli elementi raccolti hanno finito per convergere sulla responsabilità di un gruppo russo-bulgaro noto come «the Hive», l’alveare, che proprio due settimane fa aveva colpito la maggiore raffineria rumena di petrolio chiedendo un riscatto da $2 milioni.
Hive group è la gang che aveva colpito anche MediaWorld in Italia. Il gruppo avrebbe infine contattato Ferrovie per trattare un riscatto da 5 milioni.
Perciò adesso è difficile sostenere che sia stato un attacco politicamente motivato, come si era lasciato a intendere nelle prime ore tramite dispacci d’agenzia, invece che l’ennesima incursione informatica da parte di criminali che pensano solo ai soldi.
Questo non esclude che i futuri attacchi potranno avere una matrice di carattere geopolitico.
Prendendo l’Italia una netta posizione a favore dell’Ucraina e perdendo lo status di «paciere» che ha avuto nel passato, è possibile che gruppi di paramilitari cibernetici, gli Advanced Persistent Threats, ovvero degli hacker di stato, ricevano il via libera dal governo russo per condurre attacchi mirati verso l’Italia, per fare danni e seminare paura, certo, ma anche per testarne le difese e vedere come aziende e istituzioni gestiscono il rischio informatico.
Il modus operandi di questi gruppi è da sempre quello di infiltrarsi nei computer delle vittime e diventare una minaccia persistente che rimane acquattata nei gangli informatici del bersaglio per sferrare il proprio colpo al momento opportuno. I gruppi «ransomware», infatti, rimangono nei sistemi delle vittime anche se pagano il riscatto.
Il punto è che sono note le sovrapposizioni tra gli hacker di stato e i gruppi criminali e le motivazioni politiche e finanziarie spesso viaggiano insieme.
Le gang del «ransomware» attive nel Darkweb sono almeno una cinquantina e, come abbiamo visto dalla indagini di Europol e Fbi, sono localizzate in molti paesi, Ucraina compresa, e parlano lingue diverse: il coreano, il mandarino, il farsi, l’inglese, lo spagnolo. Una di queste, Lapsus$, sudamericana, proprio l’altro ieri ha sottratto il codice sorgente di Bing e Cortana nientemeno che a Microsoft.
L’attribuzione degli attacchi informatici è una delle cose più difficili da fare, e d’altra parte gli hacker criminali agiscono sempre in maniera nascosta e in condizioni di clandestinità. Se sono politicamente motivati, hanno una ragione in più per non farsi riconoscere e creare delle false piste.