Lo scorso fine settimana, un importante attacco informatico è stato condotto ai danni di centinaia di organizzazioni riuscendo, in pochissimo tempo, ad essere qualificato come uno dei più grandi attacchi ransomware della storia. L’obiettivo dell’attacco, è stata la società Kaseya, un fornitore di software per la gestione delle reti, sistemi ed infrastrutture informatiche con sede in Florida. L’attacco ha colpito, in particolare, il software di gestione IT Kaseya VSA. Questo software permette alle organizzazioni di gestire, da un’unica posizione, l’intera infrastruttura e le operazioni IT, inclusi gli ambienti cloud, on-premise, ibridi, virtualizzati e distribuiti.
Il software è utilizzato, principalmente, dai Managed Service Provider (MSP) ossia fornitori esterni che, su base contrattuale, prendono in carico, erogano e controllano un determinato servizio al posto del reparto IT di un’azienda che, nei casi in cui queste siano troppo piccole, può anche mancare. Un tipo di servizio quindi che, per queste tipologie di imprese, risulta essere particolarmente conveniente ed efficace. E’ proprio questo meccanismo di “delega” che ha permesso agli hacker di penetrare all’interno dei sistemi di almeno 40 MSP per poi infiltrarsi ed infettare le centinaia di aziende i cui sistemi IT sono gestiti proprio da questi Managed Service Provider.
Ma che cosa è un attacco ransomware? Con questo termine si fa riferimento ad una tipologia di malware che, infettando un determinato dispositivo, rende inaccessibili, e quindi inutilizzabili, i file contenuti in esso. Per ripristinare la situazione, e rendere di nuovo fruibili i file, l’attaccante chiede il pagamento di un riscatto (ransom). Si tratta quindi di una forma di estorsione, molto simile a quella tradizionale riconducibile ai sequestri di persona, che in questo caso, però, ha ad oggetto i file di un computer.
Dalle prime indagini, gli analisti hanno attribuito la responsabilità dell’attacco al gruppo REvil il quale si ritiene operare in Russia con l’assenso del governo. A seguito dell’azione, REvil ha chiesto circa 70 mln di dollari in bitcoin per rilasciare uno strumento per decriptare i PC colpiti dall’attacco. Una cifra record.
Se fosse provata la responsabilità del gruppo riconducibile al governo di Mosca ci troveremmo di fronte ad una situazione particolarmente imbarazzante.
Biden e Putin hanno deciso di dare inizio a delle consultazioni sul tema della cybersecurity, creando così un clima di fiducia reciproca che, in realtà, si stenta a credere duraturo. Già durante il summit, infatti, i due hanno lanciato accuse reciproche in relazione ai più recenti attacchi. Tra questi, quello alla piattaforma Orion di Solarwind e alla Colonial Pipeline negli U.S.A. sono stati attribuiti a Mosca che, dal canto suo, ha dichiarato che la maggior parte degli attacchi ha avuto origine dagli Stati Uniti e non dalla Russia. L’implemento delle nuove tecnologie e la costruzione di un ecosistema socio-economico completamente digitalizzato non farà altro che aumentare le superfici d’attacco.
La competizione è altissima e solo attraverso un continuo e pragmatico dialogo tra istituzioni, nazionali e sovranazionali, e settore privato sarà possibile mettere in sicurezza assets strategici di fondamentale importanza per il futuro dei paesi occidentali.
