AGI - La polizia postale ha depositato oggi in procura, a Roma, la prima informativa sull'attacco hacker a Ferrovie avvenuto ieri. Sulla base dell'incartamento i pm, coordinati dal procuratore Francesco Lo Voi e dal procuratore aggiunto Angelantonio Racanelli, apriranno un'inchiesta per le ipotesi di reato: accesso abusivo a sistema informatico e tentata estorsione.
Ma il "dietro le quinte" ha del tragicomico.
Pochi minuti dopo l'attacco hacker ad opera della gang di hacker russo-bulgaro Hive sono comparse (erroneamente) prima su un canale del social network Twitch e poi su un noto canale Telegram le credenziali di accesso ad una chat riservata dove discutere i termini del riscatto chiesto per riavere i dati bloccati con l'azienda.
Credenziali apparse per poco tempo ma che hanno permesso a molti di chattare con gli hacker.
L'AGI è riuscita a visionare i messaggi. In uno di questi messaggi un utente chiede in inglese agli hacker "ma ci avete attaccato perché l'Italia appoggia l'Ucraina?", in un altro un operatore chiede usando invece l'italiano "Vorrei sapere come recuperare i dati privati. Grazie.
Non conosco l'inglese" o un altro ancora scrive "A fare i ransomware che c'hai 30 anni! Stai rovinato, riprenditi" o "Prega la madonna di Kiev".
Il tutto condito poi con link a siti improbabili, frasi di netta chiusura "bruciate pure i dati, non pagheremo" o "avete hackerato la compagnia sbagliata".
Uno dei pochi messaggi seri sembra essere quello della richiesta di riscatto del gruppo hacker: alle 13.34 scrivono "Se pagate entro i prossimi 3 giorni sono 5 milioni di dollari in Bitcoin, dopo questo termine saranno 10milioni".
Richiesta poi rivista alle 21.26 quando la gang di hacker scrive "Ringraziate la persona che ha pubblicato i dati di accesso a questa chat. Da questo punto in poi il prezzo [del riscatto, ndr] sale a 10 milioni di euro".
Iezzi (Swascan), capire movente attacco hacker nuova sfida
In uno scenario geopolitico sempre più complesso anche la cyberwar diventa più complessa.
E se fino a poche settimane fa il compito principale era comprendere chi e in che modo aveva condotto l'attacco, ora è sempre più urgente comprendere il perché.
Se il caso di Ferrovie, quasi certamente, è stato frutto di meri motivi economici, le circostanze causate dall'attuale situazione di innalzato allarme causato dal conflitto ucraino rendono necessario un ripensamento dell'approccio alla gestione di questo tipo di attacchi.
Nelle prime ore dell'attacco, infatti, è stato ipotizzato che i colpevoli, la gang di hacker nota come Hive, di estrazione russo-bulgara e dichiaratamente filorussa, avessero colpito Ferrovie dello Stato come conseguenza delle recenti prese di posizione dell'Italia a favore di Kiev.
"Anche se con ogni probabilità questo non era il motivo, da ora in avanti - spiega all'AGI Pierguido Iezzi, Ceo di Swascan (Tinexta cyber) - la situazione impone che accanto all'analisi di Tecniche, Tattiche e Procedure (TTP) utilizzate dagli attaccanti si cominci ad indagare su Mezzi, Opportunità e Movente (MOM) dei Criminal Hacker per fare un distinguo tra attacco a scopo di lucro, operazione di Cyber War, false flag o situazioni di connivenza. Per questo - spiega l'esperto - devono essere rafforzati i legami tra pubblico e privato per rafforzare la difesa digitale del nostro paese. L'obiettivo è creare un deterrente cibernetico in grado di schierare e unire le necessarie competenze, strumenti e tecnologie italiane utili non solo a scoraggiare attacchi, ma anche ad attuare politiche proattive".