Il motivo di questo timore era però ovvio; proprio il giorno prima dell’attacco, il discorso del premier ucraino Zelensky al Parlamento aveva ricevuto una standing ovation e ottenuto l’impegno del premier Draghi di stare al fianco del Paese invaso da Putin, che sappiamo potersi avvalere anche di efficienti incursori cibernetici.
Notizie d’agenzia che citavano “fonti qualificate” degli apparati di sicurezza avevano rafforzato questo timore insieme al ritardo del gruppo Ferrovie nel chiarire subito l’accaduto, limitandosi a fare sapere che “sono stati rilevati elementi che potrebbero ricondurre a fenomeni legati a un’infezione da cryptolocker”. Il caso
Chi c’è (davvero) dietro all’attacco
In realtà è probabile che alle Ferrovie sapessero già tutto, anche il nome del gruppo e la sua appartenenza linguistico-geografica: dalle informazioni raccolte nella giornata, è stato via via accertato dagli analisti che l’aggressore fosse il gruppo Hive, di lingua russa, con componenti e affiliati sia russi sia bulgari.
Il gruppo è noto per gli attacchi a MediaMarkt in Olanda e Germania, MediaWorld in Italia e al ministero degli Esteri indonesiano, l’Istituto di Tecnologia della British Columbia, il quotidiano Metro negli Usa, altre realtà della logistica europee e internazionali, perfino una Asl del Veneto. Un gruppo tanto spavaldo da linkare Twitter e Facebook nel suo sito su Tor per consentire a chiunque di postare sui social più popolari la notizia delle aziende che mettono sotto ricatto e aumentare così la pressione nei loro confronti.
Il gruppo Hive, come Conti, Lockbit2.0, Ransomeex e vari altri, è esperto nella violazione di asset industriali, database informatici, reti di trasporto dati e lavora, quasi si trattasse di un’azienda legittima, con consulenti informatici, addetti alla clientela e comunicatori, reclutati secondo le logiche del Ransomware as a Service, cioè del ransomware in affitto, in base al quale una crew ristretta di sviluppatori scrive e raffina il codice di cifratura dei dati e lo cede a criminali meno esperti che conducono l’attacco vero e proprio in cambio di una percentuale sui profitti.
Insomma, un gruppo criminale motivato dal denaro e non ideologicamente schierato, senza alcuna voglia di fare la cyberguerra all’Italia ma con la purtroppo solita estorsione digitale colorita stavolta di folclore e improvvisazione. Pare infatti che per l’errore o l’ingenuità di qualcuno il canale per la trattativa riservata sia trapelato su Twich e poi rimbalzato su alcuni gruppi Telegram, portando chi non era autorizzato a scimmiottare le trattative all’interno, provocando i rapinatori digitali e offrendo loro un euro soltanto di riscatto. La guerra digitale
Quanti soldi vogliono gli hacker
Un riscatto che invece ammonterebbe a 5 milioni di dollari che dovranno essere pagati entro 3 giorni, timing usuale per il gruppo, pena il raddoppio della somma da versare, arrivando fino a 10 milioni di dollari in Bitcoin. Un fatto, questo, commentato in vari gruppi di hacker etici e riportato da un sito italiano di cyber-news, Redhotcyber.
Il Centro nazionale Anticrimine informatico della polizia sta indagando, l’Agenzia per la Cybersicurezza nazionale è intervenuta per limitare i danni, e c’è già un faldone aperto presso la Procura di Roma, ma trattandosi della bigliettazione non è improbabile che i malfattori siano entrati in possesso dei dati personali dei viaggiatori di Trenitalia, nel cui caso l’azienda dovrà notificare al garante della Privacy italiano l’accaduto con il rischio di una multa salata, oltre alle beffe e alla richiesta dei giornalisti di comunicare una crisi di questo tipo in maniera più precisa, tempestiva ed efficace. Soprattutto per non lasciare spazio a pericolose illazioni, ancora più gravi in tempi di guerra.