Quando l’immobilità diventa un’arma
Basta un clic, una password sbagliata o una falla nella sicurezza… e tutta l’azienda si ferma. Gli attacchi ransomware sono oggi una delle più grandi minacce per le imprese. Quando ad essere colpiti sono diversi Cantoni e aziende svizzere, entra in gioco il Ministero pubblico della Confederazione che prende in mano i procedimenti. fedpol indaga.
Un collaboratore di un fornitore di servizi contabili con sede nell’Altopiano è il primo ad arrivare in ufficio la mattina e ad accendere il computer. Quando però clicca su un file per aprirlo, anziché il conto economico del suo cliente appare un messaggio: tutti i file dell’azienda e dei clienti sono stati crittografati e saranno pubblicati, se entro 24 ore non verrà pagato il riscatto richiesto. Il fenomeno si ripete più o meno così in molte aziende. Dietro la richiesta di riscatto si cela il gruppo ransomware 8Base, uno dei più grandi gruppi criminali, che ogni anno si arricchisce di milioni di franchi con ricatti di questo tipo. Il gruppo crittografa dati, paralizza sistemi informatici e causa ingenti danni economici.
Per molte vittime il riscatto chiesto è meno problematico dei costi provocati dal blocco dei loro servizi. I processi di produzione si fermano, le fatture restano insolute, gli appuntamenti devono essere posticipati. Da tempo i criminali non prendono più di mira solo le grandi aziende, ma anche piccole e medie imprese.
fedpol e il Ministero pubblico della Confederazione, assieme a partner internazionali, contribuiscono ad arginare la minaccia. Lo scopo è identificare il gruppo ransomware 8Base, che danneggia centinaia di imprese e organizzazioni in tutto il mondo, di cui diverse dozzine in Svizzera.
Collaborazione agile
La collaborazione stretta e flessibile tra le autorità coinvolte è cruciale. Anziché un’indagine lineare su vasta scala, i Paesi partner puntano su brevi fasi d’indagine coordinate fra loro, durante le quali si raggruppano le informazioni e le tracce raccolte e si procede all’identificazione graduale degli autori.
Le squadre investigative individuano tempestivamente indizi su attacchi pianificati. Tali informazioni consentono ai Paesi colpiti di adottare misure preventive: le aziende vengono avvertite, i sistemi controllati e gli accessi messi in sicurezza. Le inquirenti e gli inquirenti informatici di fedpol riescono ad avvertire in anticipo più di 300 potenziali aziende vittima tramite i partner internazionali, prevenendo così i ricatti alla radice, anche in Svizzera. Vengono identificati, localizzati e arrestati diversi presunti membri del gruppo.
Azione coordinata
Un effetto visibile della cooperazione internazionale è il cosiddetto «take down», quando l’infrastruttura tecnica dei cibercriminali viene scollegata dalla rete, tra cui le piattaforme su cui pubblicano i dati rubati. Al posto dei contenuti compare una cosiddetta «splash page», ossia una pagina di notifica delle autorità di perseguimento penale a segnalare che le autorità hanno assunto il controllo dell’infrastruttura e che le attività criminali non restano inosservate (ulteriori informazioni sono reperibili nel comunicato di Europol).
I dati crittografati tornano accessibili
Un altro risultato concreto dell’operazione è l’aiuto fornito alle imprese già danneggiate. Le inquirenti e gli inquirenti giapponesi riescono a sviluppare uno strumento di decrittazione per i dati crittografati. Lo strumento è messo a disposizione da Europol e dalla polizia neerlandese tramite la piattaforma «No More Ransom». Le vittime che non hanno pagato il riscatto possono tirare un sospiro di sollievo: i loro dati sono nuovamente accessibili.
Il caso di 8Base mostra soprattutto una cosa: i cibercriminali operano a livello globale. E sempre a livello globale agisce anche un perseguimento penale di successo.
«La cibercriminalità è un settore in rapido mutamento. Un successo investigativo di questa portata può essere raggiunto solo grazie a una buona cooperazione nazionale e internazionale.»
Lukas, inquirente federale Cibercriminalità