Una gang di cybercriminali dalla Romania aveva messo nel mirino di attacchi ransomware alcuni sistemi di archiviazione dei dati sfruttando alcune vulnerabilità dei dispositivi. E in questo modo era riuscita a colpire molte piccole e medie imprese, tra Italia, Germania, Francia e Romania, delle quali sequestrava le informazioni, chiedendo un riscatto in bitcoin in cambio della decrittazione, secondo il classico schema degli attacchi ransomware.
Carta di credito con fido
Procedura celere
A risalire alla gang, che firmava i suoi attacchi come Diskstation, scimmiottando il nome del programma di cui sfruttavano la falla (poi risolta dal produttore) è stata la Polizia postale, che da Milano ha condotto un’operazione che ha portato gli agenti fino alla capitale romena, Bucarest, per stanare la gang. Elicius, questo il nome dell’operazione, ha preso le mosse da alcune denunce depositate da aziende lombarde. “Le vittime sono professionisti e società operanti in vari campi di produzione grafica, cinematografica, organizzazione eventi e onlus attive, a livello internazionale, nell’ambito della tutela dei diritti civili e attività di beneficenza”, recita la nota della polizia postale, che non ha precisato il numero delle aziende coinvolte. Tutte accomunate dalla condizione di essere rimaste vittime di un attacco cibernetico, di ritrovarsi paralizzate nella loro attività perché impossibilitate ad accedere ai dati criptati dai criminali informatici e di essere minacciate con il pagamento di un riscatto in criptovalute.
Come funzionava l’attacco
Gli agenti del Centro operativo per la sicurezza cibernetica di Milano, coordinata dal servizio Polizia postale e per la sicurezza cibernetica e dalla Procura del capoluogo lombardo, trovano un elemento comune tra i fascicoli finiti sulle loro scrivanie. È la compromissione di un Nas, un network attached storage, ossia un dispositivo che consente di archiviare in rete i dati all’interno di un’organizzazione e di renderli disponibili al personale. È una formula tecnica usata spesso negli uffici di piccole aziende.
In particolare, gli attaccanti miravano ai sistemi della piattaforma Quickconnect, della taiwanese Synology, che consente l’accesso ai Nas prodotti dalla stessa azienda. Lo scorso novembre proprio Synology aveva diffuso degli aggiornamenti per risolvere alcuni bug nella sicurezza dei propri sistemi. Verosimilmente, quelli sfruttati dai cybercriminali che dalla Romania hanno “bucato” aziende in vari paesi europei, tra cui Francia e Italia. Dopo essere penetrati nei sistemi informatici, gli attaccanti sfruttavano tecniche di “movimenti laterali” per inserirsi nelle reti delle aziende e sottrarre i dati. Che a quel punto venivano sequestrati e cifrati, con immediato blocco dell’attività aziendale e richiesta di riscatto della gang. Non una cifra folle: 0,025 bitcoin, circa 750 dollari.
Segno però che gli attaccanti avevano chiaro di non avere davanti dei Paperoni e puntavano a fare massa con tanti pagamenti, più che a estorcere una somma da capogiro a una vittima. Anche le note estorsive erano scritte in maniera chiara, con indicazioni semplici e un vademecum per provvedere al versamento al wallet dedicato e all’invio della controprova del pagamento anche da parte di figure non particolarmente specializzate.
L’operazione di polizia
L’operazione è durata circa un anno e che ha visto la collaborazione di Europol, l’agenzia che coordina le forze di polizia europee, e della polizia francese e rumena. Gli investigatori italiani sono riusciti a tracciare i flussi di denaro e a risalire ai tre sospettati. Uno di questi è stato beccato a Bucarest in flagranza di reato, mentre stava compiendo un attacco ai Nas di un’azienda. Le perquisizioni hanno consentito anche di trovare il sito usato per generare gli alias usati per inviare i vademecum alle vittime e i testi delle note con le istruzioni di pagamento. In tutto sono stati individuati vari soggetti coinvolti nell’attività criminale. Per uno il giudice per le indagini preliminari del Tribunale di Milano, su richieste dei pubblici ministeri titolari delle indagini, ha applicato la custodia cautelare in carcere. Si tratta di un uomo di 44 anni, di cittadinanza romena, al quale “vengono contestate gravi condotte perpetrate ai danni di numerose vittime italiane per i reati di accesso abusivo a un sistema informatico o telematico ed estorsione”.
Finanziamenti personali e aziendali
Prestiti immediati
Questa operazione dimostra i rischi che corrono anche le piccole imprese, altrettanto ghiotte come bocconi per le gang dei cybecriminali. Secondo i dati del gruppo tecnologico Var group-Yarix, nel 2024, l’Italia è stata il 4° paese più interessato dai ransomware, dopo Stati Uniti, Regno Unito, Canada e prima della Germania. A livello italiano, gli attacchi ransomware hanno colpito aziende nei settori manifatturiero (32,5%), consulenza (9%), It (7,5%), trasporti (7,5%) e Costruzioni (6,5%), distribuite maggiormente in Lombardia (30,90%), Emilia-Romagna (15,40%) e Veneto (8,80%).
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
