NON SONO PISCHELLI IN FELPA NÉ SMANETTONI COL MITO DI ANONYMOUS - DIETRO GLI HACKER CHE HANNO INFINOCCHIATO LA REGIONE LAZIO NON C'È ALCUNA IDEOLOGIA: C'ENTRA SOLO LA VAGONATA DI SOLDI CHE I CYBER CRIMINALI VOGLIONO CHIEDERE COME RISCATTO - LA BANDA VIENE GESTITA COME UNA COSCA, TRA GERARCHIE E RICICLO DEL DENARO SPORCO: UN NETWORK INTERNAZIONALE CON 50 ADEPTI E VECCHI HANGAR IN ASIA A FARE DA BASI - NELL'80% DEI CASI IL VIRUS PENETRA NELLE AZIENDE PER L'IMPRUDENZA DI UN DIPENDENTE...
Lorenzo De Cicco per "Il Messaggero"
Non sono ragazzini in felpa; né smanettoni ideologizzati ispirati da Anonymous. Qui l'ideologia c'entra poco. C'entrano i soldi. Vagonate di soldi. L'organizzazione dei nuovi hacker - ma forse sarebbe meglio chiamarli col loro nome, cybercriminali - ricalca quella delle cosche: c'è una gerarchia, colonnelli, truppe, compiti ripartiti.
Un reparto progetta i bacilli digitali che infettano le reti, mentre altri, come un braccio armato, mettono in pratica l'attacco. A volte sono soggetti diversi: c'è chi progetta solo i virus e chi, attraverso un intermediario, li compra per attaccare in proprio un bersaglio definito. Ma spesso i due piani si mischiano. È un unico soggetto, con più articolazioni, a seguire da cima a fondo l'operazione: le «gang», nel linguaggio degli hacker.
«HELLO LAZIO!»
Chi è riuscito a penetrare nei server della Regione Lazio? Nella ransom note, la richiesta di riscatto, non c'è una firma. «Hello Lazio!», scrivono i cybercriminali, avvertendo che i file sono stati criptati e che per non danneggiarli bisogna seguire una procedura.
La indicherebbe un link, che gli esperti di LazioCrea, la società informatica della Pisana, non hanno voluto cliccare. Ma alcuni siti specializzati internazionali l'hanno analizzato. Il portale statunitense BleepingComputer, attraverso l'«onion Url» - per farla molto semplice: l'indirizzo nel dark web - ha ricondotto l'operazione alla «RansomExx gang», che ha sviluppato il virus RansomExx, uno dei più famosi ransomware in circolazione, cioè i virus con richiesta di riscatto.
La RansomExx gang, riporta sempre il sito americano specializzato in sicurezza informatica, ha già colpito in altri continenti, soprattutto negli Usa e in Sudamerica. Nel mirino sono finite «le reti governative del Brasile, il dipartimento dei Trasporti del Texas, la Cnt (Corporación Nacional de Telecomunicación) dell'Ecuador».
E ancora: una multinazionale giapponese che si occupa di sistemi di intelligenza artificiale, un altro colosso della manifattura della fibra laser che opera tra Stati Uniti, Germania, Italia e Russia.
Il contesto in cui è partito l'attacco che ha messo kappaò i sistemi informatici della Regione della Capitale sembra essere quello delle reti criminali sovrannazionali. «RansomExx è sia il nome di un prodotto, un virus che chiede il riscatto, che un gruppo criminale», spiega Roberto Setola, direttore del Master in Homeland Security al Campus Biomedico di Roma.
Al di là della ricostruzione di BleepingComputer, sposata ieri anche da altri portali specializzati, è ancora presto per stabilire se in questo caso la gang abbia pianificato l'attacco «o abbia solo venduto il prodotto-virus a terzi», dice Setola. Quel che è certo è che ci troviamo difronte a «strutture internazionali, ramificate, ampie», è convinto Corrado Giustozzi, esperto di sicurezza cibernetica, ex consulente dell'Agenzia per l'Italia Digitale e membro, dal 2010 al 2020, dell'Advisory Group dell'Agenzia dell'Unione Europea per la Cybersecurity.
«Sono reti organizzate, funzionano in modo simile alle cosche, a volte collaborano tra loro, a volte sono in competizione. Vivono riciclando i riscatti milionari. Spesso in partnership con la criminalità organizzata comune, di cui possono anche essere costole di diretta emanazione. Pensiamo alla mafia russa, che ha un proprio battaglione di hacker».
HANGAR IN ASIA
Alcuni di questi gruppi hanno sede in ex hangar militari in Asia, capannoni dove lavorano 40-50 persone per le reti di medie dimensioni. Mentre per quelle più grandi possono essere anche il doppio.
Riccardo Meggiato, consulente in cyber-security, è convinto, per le modalità con cui è stato messo in atto, che l'attacco sferrato al Lazio abbia avuto origine «in Russia o in Cina, comunque in Asia. Ho letto di un collegamento con la Germania, ma lì al più può essere rimbalzato il segnale». Anche se si tratta di malware sofisticati, può bastare poco perché s'infiltrino nelle reti protette: «Nell'80% dei casi - riprende Setola dell'università Campus - il virus penetra per l'imprudenza di un dipendente».
