Il 7 maggio 2021 uno dei principali oleodotti statunitensi, il Colonial Pipeline, smise improvvisamente di funzionare. In poche ore le pompe di benzina del Sud-Ovest degli Stati Uniti erano a secco, anche a causa del panico degli automobilisti, che facevano a gara per riempire i serbatoi prima della chiusura totale. Il traffico aereo della zona, dipendente dalle forniture dell’oleodotto, andò in tilt. Il 9 maggio l’amministrazione Biden dichiarò lo stato di emergenza. L’oleodotto sarebbe rientrato in funzione il 12 maggio. Pochi giorni dopo, il 30 maggio, i macelli del più grande produttore di carne statunitense, JBS Foods, andarono fuori uso, creando disagi nella distribuzione dei prodotti non solo negli Stati Uniti, ma anche in Canada e in Australia, e agitando lo spettro di un rialzo dei prezzi della carne a livello globale. In pochi giorni i macelli ripresero le operazioni.
Si tratta di due esempi di un fenomeno oggi dilagante: l’estorsione digitale. Entrambe le ditte erano state vittime di un ransomware, un virus disegnato per rendere inaccessibili i dati su un computer o su un network fino a che la vittima non abbia pagato un riscatto. Nel caso di Colonial Pipeline il ransomware non aveva toccato i software che regolavano il flusso di benzina, ma quelli che regolavano i pagamenti. Incapace di richiedere il compenso per il carburante inviato e timorosa di un dilagare dell’attacco ad altre infrastrutture informatiche, era stata la stessa Colonial a decidere la chiusura dell’impianto. Il responsabile era un gruppo chiamato DarkSide. JBS era stata invece attaccata da un gruppo che si firmava REvil. Entrambi hanno con tutta probabilità sede in Russia.
La relativa velocità con la quale entrambe le situazioni sono state risolte è dovuta al fatto che le ditte hanno pagato, nel giro di poche ore, quanto richiesto (75 bitcoin – equivalenti a 5 milioni di dollari al tempo – nel caso di Colonial, 11 milioni nel caso di JBS), ma anche al fatto che i gruppi non sono alle dirette dipendenze di uno Stato. La Russia e altri Stati possono tollerarne la presenza, e presumibilmente si rallegrano quando la vittima è un avversario geopolitico, ma i perpetratori puntano solo al profitto. Restituire prontamente i dati al pagamento del riscatto dimostra alla prossima vittima che pagare conviene, massimizzando le probabilità di successo dell’estorsione. DarkSide è arrivata persino a scusarsi pubblicamente dei disagi causati alla popolazione.
Non si tratta che della punta di un iceberg, emersa all’attenzione pubblica solo per la scala delle conseguenze degli attacchi. Le vittime di ransomware sono oggi aziende di ogni dimensione e anche individui, che si trovano davanti alla scelta se pagare il riscatto o impiegare fondi potenzialmente maggiori per riparare al danno – senza alcuna certezza sul fatto che i dati saranno effettivamente recuperati, ma con la certezza di dover ammettere pubblicamente una falla nei propri sistemi di sicurezza. I termini della scelta, uniti all’emergere delle criptovalute, che permettono il pagamento non tracciabile del riscatto, hanno determinato tanto la straordinaria diffusione della pratica quanto la mancanza di statistiche precise su di essa.
I ransomwares sono tuttavia citati nel Global Cybersecurity Outlook 2022 del World Economic Forum come la principale minaccia informatica, insieme al social engineering, alle imprese e alla crescita industriale, con una stima di diffusione di 270 attacchi per azienda nel 2021. L’agenzia di sicurezza informatica SonicWall ha registrato nello stesso anno e tra i clienti da essa monitorati 623 milioni di attacchi ransomware in tutto il mondo, un numero quasi raddoppiato rispetto all’anno precedente e triplicato rispetto al 2019.
Relativamente pochi episodi di ransomware finiscono sulle pagine dei giornali, ma quando lo fanno, come nel caso degli attacchi a JBS Foods e Colonial Pipeline, i responsabili sono invariabilmente descritti come hackers. Almeno dal 2010 i media hanno usato la parola hacking per indicare azioni ostili tra Stati che avvenivano nel dominio digitale. Si tratta di un nuovo volto pubblico dell’hacker, pur preparato dal ruolo globale assunto da gruppi indipendenti come Anonymous: non più ragazzo prodigio, accademico, imprenditore, troll o attivista, ma sabotatore e spia professionista.
