Un rapporto di intelligence sulle cyber-minacce elaborato da Google Threat Intelligence Group (GTIG), reso pubblico il 12 febbraio, proprio alla vigilia della Conferenza sulla sicurezza di Monaco, afferma che negli ultimi anni il crimine informatico si è evoluto fino a diventare una minaccia per la sicurezza degli Stati occidentali.
Indice degli argomenti
Il rapporto del Google Threat Intelligence Group (GTIG)
I responsabili politici dovrebbero considerare la criminalità informatica con la stessa serietà delle operazioni condotte dagli Stati nazionali, precisa il documento intitolato Cyber crime: A multifaceted national security threat.
La mappa dei rischi Cyber in Italia: scopri lo scenario per il 2025
Il rapporto analizza come gli Stati nazionali ostili ai Paesi del Nord Atlantico, come Russia, Cina, Iran e Corea del Nord, stiano sempre più cooptando gruppi di criminali informatici per portare avanti le loro ambizioni geopolitiche ed economiche. L’investigazione si estende anche sul “profondo impatto sociale” del crimine informatico, dalla destabilizzazione economica alla sua ripercussione sulle infrastrutture critiche, compresa l’assistenza sanitaria. Cosa fare? I governi devono elevare la criminalità informatica a priorità di sicurezza nazionale, emulando le migliori pratiche di sicurezza del settore privato, afferma il gruppo di lavoro.
Il blocco delle infrastrutture critiche
La criminalità informatica, in particolare gli attacchi ransomware, rappresentano una seria minaccia per le infrastrutture critiche, riferisce Google. Le loro interruzioni, come l’attacco alla Colonial Pipeline del 2021, l’incidente all’hub di raffinazione di Amsterdam-Rotterdam-Anversa del 2022 e l’incursione a Petro-Canada del 2023, hanno reso impossibile ai cittadini di accedere a beni vitali. Mentre in questi casi l’impatto è stato temporaneo e recuperabile, un attacco ransomware durante un’emergenza meteorologica o un’altra situazione acuta potrebbe avere conseguenze devastanti, aggiunge l’analisi.
Gli effetti sul settore sanitario
Dal 2022 Google Threat Intelligence Group (GTIG) ha osservato un notevole aumento del numero di vittime di siti di “data leak” (DLS) nel settore ospedaliero. I DLS, utilizzati per rilasciare informazioni delle vittime in seguito a episodi di estorsione per furto di dati, hanno principalmente lo scopo di spingere le vittime a pagare una richiesta di riscatto.
Ad esempio, nel luglio 2024 il DLS di Qilin (alias “AGENDA”) ha annunciato attacchi imminenti contro le organizzazioni sanitarie statunitensi. Secondo il rapporto, la minaccia è stata portata avanti aggiungendo un centro medico regionale all’elenco delle vittime dichiarate sul DLS la settimana successiva e aggiungendo più cliniche sanitarie e dentistiche nell’agosto 2024. Gli operatori del ransomware hanno dichiarato di concentrarsi sui settori che pagano bene, e uno di questi è quello sanitario.
Altro caso risale al marzo 2024, quando l’attore del forum Russian Anonymous Marketplace (RAMP) “badbone”, che è stato associato alla banda del ransomware INC, ha cercato di ottenere l’accesso illecito a organizzazioni mediche, governative ed educative olandesi e francesi, dichiarando di essere disposto a pagare il 2-5% in più per gli ospedali, in particolare per quelli con servizi di emergenza.
Conseguenze potenzialmente letali per i pazienti
Secondo Google, le conseguenze di tali attacchi possono essere molto gravi, fino a diventare letali per i pazienti ricoverati. Studi di accademici e revisioni ospedaliere interne, infatti, hanno dimostrato che le interruzioni dovute ad attacchi ransomware vanno oltre l’inconveniente e hanno portato a conseguenze potenzialmente letali per i pazienti. Le interruzioni possono avere un impatto non solo sui singoli ospedali, ma anche sulla più ampia catena di fornitura sanitaria, mentre gli attacchi informatici rivolti alle aziende che producono farmaci essenziali e terapie salvavita possono avere conseguenze di vasta portata in tutto il mondo. Un recente studio condotto dai ricercatori della University of Minnesota – Twin Cities School of Public Health ha dimostrato che quando avviene un attacco ransomware, tra i pazienti già ricoverati “la mortalità in ospedale aumenta del 35-41%. Inoltre, secondo un comunicato reso pubblico, i dati del Servizio sanitario nazionale del Regno Unito hanno mostrato che un incidente ransomware del giugno 2024 presso un appaltatore ha portato a molteplici casi di “impatto a lungo termine o permanente sulle funzioni fisiche, mentali o sociali o di riduzione dell’aspettativa di vita”, con un numero maggiore di casi con effetti meno gravi.
L’aumento dei cyber-attack alle strutture sanitarie
GTIG è stato perentorio: “gli operatori di ransomware sono consapevoli che i loro attacchi agli ospedali avranno gravi conseguenze e probabilmente aumenteranno l’attenzione del governo nei loro confronti. Sebbene alcuni abbiano elaborato strategie per mitigare il contraccolpo di queste operazioni, le potenziali ricompense monetarie associate al colpire gli ospedali continuano a spingere gli attacchi al settore sanitario”.
L’interruzione dell’economia nazionale
Gli attacchi cyber vengono condotti anche colpire l’economia di unoStato. L’8 maggio 2022, ad esempio, il Presidente del Costa Rica Rodrigo Chaves ha dovuto dichiarare l’emergenza nazionale a causa degli attacchi ransomware CONTI contro diverse agenzie governative costaricane. Queste intrusioni hanno provocato interruzioni diffuse nei sistemi governativi di assistenza medica, fiscale, pensionistica e doganale.
Le ripercussioni finanziarie
Le importazioni e le esportazioni sono state bloccate, i porti sono stati sovraccaricati e il Paese ha subito perdite per milioni di dollari. I costi della bonifica si sono estesi anche al di fuori del Costa Rica. La Spagna ha sostenuto gli sforzi di risposta immediata e nel 2023 gli Stati Uniti hanno annunciato 25 milioni di dollari di aiuti per la cybersicurezza del Paese colpito.“Sebbene l’incidente in Costa Rica sia stato eccezionale, la risposta a un incidente di criminalità informatica può comportare spese significative per l’entità colpita, come il pagamento di richieste di riscatto multimilionarie, la perdita di reddito dovuta all’interruzione dei sistemi, la fornitura di servizi di monitoraggio del credito ai clienti colpiti e il pagamento dei costi di bonifica e delle multe. Solo per fare un esempio, un’organizzazione sanitaria statunitense ha riportato 872 milioni di dollari di ‘effetti sfavorevoli di un cyberattacco’ dopo un incidente dirompente. Nei casi più estremi, questi costi possono contribuire alla cessazione delle attività o alla dichiarazione di fallimento delle organizzazioni”.
L’impatto sulle economie nazionali
Oltre agli impatti diretti sulle singole organizzazioni, le ripercussioni finanziarie si estendono spesso ai contribuenti e possono avere un impatto significativo sull’economia nazionale a causa degli effetti successivi delle interruzioni. L’Internet Crime Complaint Center (IC3) del Federal Bureau of Investigation statunitense ha indicato che tra l’ottobre 2013 e il dicembre 2023, le sole operazioni di compromissione della posta elettronica aziendale (BEC) hanno causato perdite per 55 miliardi di dollari. L’effetto cumulativo di questi episodi di criminalità informatica può avere un impatto sulla competitività economica di un Paese, aggiunge Google. “Ciò può essere particolarmente grave per i Paesi più piccoli o in via di sviluppo, soprattutto quelli con un’economia meno diversificata”.
Criminalità informatica a diretto sostegno di attività statali: i Paesi coinvolti
Il rapporto fa luce sul modo in cui quelli che definisce i “Quattro Grandi”, vale a dire la Russia, la Cina, l’Iran e la Corea del Nord – hanno usato il crimine informatico, compreso l’uso del ransomware, per consentire lo spionaggio.
La Russia
Il documento afferma che Mosca ha mobilitato i suoi criminali informatici per spiare e organizzare operazioni di disturbo a sostegno della guerra contro l’Ucraina. Esso afferma che l’APT44 (alias Sandworm), un’unità dell’intelligence militare russa, collegata all’intelligence dello Stato Maggiore russo (GRU), ha utilizzato il malware disponibile nelle comunità di criminali informatici per condurre operazioni di spionaggio e di disturbo in Ucraina. Un altro esempio è l’”UNC2589″, un “gruppo di minacce” la cui attività è stata pubblicamente attribuita alla Direzione principale della GRU, il 161° Centro di addestramento specialistico (Unit 29155). Secondo il rapporto, questo gruppo informatico ha condotto con l’Ucraina operazioni informatiche a tutto campo, compresi attacchi distruttivi. Secondo il Google Threat Intelligence Group, il gruppo russo CIGAR (alias RomCom), che si è concentrato sulla criminalità informatica, ha condotto operazioni di spionaggio contro il governo ucraino a partire dal 2022. Gli autori dell’analisi affermano che l’espansione di CIGAR dalla criminalità informatica all’attività di spionaggio, probabilmente a sostegno di obiettivi statali russi, è iniziata nell’ottobre 2022, quando ha condotto una campagna di phishing rivolta a entità ucraine legate all’esercito. Il CIGAR avrebbe continuato a condurre attività di intrusione mirate principalmente all’Ucraina e all’Europa per tutto il 2023 e il 2024, comprese campagne che sfruttavano zero-days in Microsoft Word, Firefox e Windows.
La Corea del Nord
Il rapporto evidenzia quella che definisce una politica del regime nordcoreano di furto di criptovalute per finanziare lo sviluppo missilistico e i programmi nucleari, oltre che i costi operativi quotidiani, e sostiene che gli effetti della criminalità informatica vanno oltre il furto di denaro o la violazione dei dati. Secondo gli autori, “erodono la fiducia del pubblico, destabilizzano i servizi essenziali e, nei casi più gravi, costano vite umane”. Google afferma che la crescente convergenza della criminalità informatica e dell’hacking sponsorizzato dagli Stati richiede un’azione incisiva, pari alla minaccia rappresentata dagli avversari degli Stati nazionali.
L’Iran
Secondo l’GTIG, negli ultimi anni gruppi di spionaggio iraniani conduce operazioni di ransomware e di hack-and-leak dirompenti. “Sebbene molte di queste attività siano probabilmente guidate principalmente da intenti di disturbo, alcuni attori che lavorano per conto del governo iraniano potrebbero anche cercare modi per monetizzare i dati rubati a scopo di guadagno personale, e il clima economico in declino dell’Iran potrebbe servire da impulso per questa attività”. Nell’agosto 2024, il Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) e il Department of Defense Cybercrime Center (DC3) hanno pubblicato un avviso congiunto secondo cui un gruppo di cyber-attori con base in Iran, noto come UNC757, collaborava con affiliati di ransomware, tra cui NoEscape, Ransomhouse e ALPHV, per ottenere l’accesso alla rete di organizzazioni di vari settori e poi aiutare gli affiliati a distribuire il ransomware in cambio di una percentuale sui profitti. L’avviso indica, inoltre, che il gruppo ha rubato dati da reti mirate probabilmente a sostegno del governo iraniano e che le sue operazioni di ransomware non sono state sanzionate dal governo di Teheran. Per Google, il gruppo avrebbe legami storici e sospetti con il personaggio “nanash” che a metà del 2020 ha pubblicato un annuncio su un forum di criminalità informatica sostenendo di avere accesso a varie reti, nonché con operazioni di hacking e leaking associate al ransomware PAY2KEY e al corrispondente personaggio che ha preso di mira aziende israeliane.
La Cina
In diverse indagini, sostiene Google Threat Intelligence Group l’operatore di spionaggio cinese UNC2286 è stato osservato mentre effettuava apparentemente operazioni di estorsione, tra cui l’utilizzo del ransomware STEAMTRAIN, probabilmente per mascherare le sue attività. “Il ransomware ha rilasciato un file JPG denominato “Read Me.jpg” che copia in gran parte la nota del ransomware consegnata con DARKSIDE. Tuttavia, non è stato stabilito alcun collegamento con il ransomware-as-a-service (RaaS) DARKSIDE, suggerendo che le somiglianze sono in gran parte superficiali e destinate a conferire credibilità al tentativo di estorsione. Il fatto di mescolare deliberatamente le attività di ransomware con le intrusioni di spionaggio supporta gli sforzi pubblici del governo cinese di confondere l’attribuzione confondendo le attività di spionaggio informatico con le operazioni di ransomware”.
Lo Stato cinese dietro gli attacchi cibernetici e lo spionaggio
Il rapporto afferma che la Cina aumenta le sue operazioni di spionaggio utilizzando gruppi di minacce persistenti avanzate come APT41 per combinare la distribuzione di ransomware con la raccolta di informazioni. “Mescolare deliberatamente le attività di ransomware con le intrusioni di spionaggio supporta gli sforzi pubblici del governo cinese per confondere l’attribuzione confondendo le attività di spionaggio informatico con le operazioni di ransomware”. L’APT41 opererebbe dalla Cina e sarebbe “molto probabilmente un appaltatore del Ministero della Sicurezza di Stato”. Oltre alle campagne di spionaggio sponsorizzate dallo Stato contro un’ampia gamma di settori, l’APT41 avrebbe una lunga storia di operazioni a sfondo finanziario. L’attività di cybercriminalità del gruppo si è concentrata soprattutto sul settore dei videogiochi, compresa la diffusione di ransomware.
La guerra informatica cinese
Al di là del rapporto di Google, va comunque detto che lo spionaggio informatico sponsorizzato dallo Stato cinese costituisce solo una parte della più ampia attività rientrante nel perimetro della guerra informatica. Mandiant Threat Intelligence (una delle più importanti società di intelligence di sicurezza informatica a livello globale) afferma che, dopo la ri strutturazione militare e dell’intelligence voluta da Xi Jinping nel 2016, la tecnica utilizzata dai gruppi di spionaggio informatico affiliati alla Cina si è costantemente evoluta, diventando più furtiva ed agile.
Secondo Mandiant, l’attività di spionaggio informatico di Pechino fa capo sia al Ministero della Sicurezza di Stato (MSS) che alla PLA, ma presenta differenze per ambito geografico, allineamento delle operazioni e vittime. Mentre i gruppi di minaccia affiliati ai Comandi di Teatro operativo della PLA, come Tonto Team e TEMP e Overboard, concentrano le operazioni all’interno delle aree di responsabilità dei rispettivi Comandi, quelli di MSS, come APT41, APT5 e APT10, operano in ambito geografico molto più ampio, come Stati Uniti, Europa, America Latina, Caraibi e Nord America.
In sostanza, l’MSS conduce operazioni di controspionaggio interno, di intelligence straniera non militare e supporta aspetti della sicurezza politica. Anche le università cinesi collaborano con la PLA e il MSS per svolgere operazioni di cyber spionaggio sponsorizzate dallo Stato. Le intrusioni informatiche consentono alle aziende cinesi, in alcuni casi agendo sotto la direzione del PCC o con l’assistenza del governo (cosiddetto Cyberspionaggio di Stato), di accedere alle informazioni sulle operazioni proprietarie delle aziende straniere e sulle informazioni sul finanziamento dei progetti, nonché di rubare IP e tecnologia. La Cina utilizza campagne di spionaggio informatico coordinate e sostenute dal governo per rubare informazioni da una varietà di società commerciali estere, comprese quelle dell’industria petrolifera ed energetica, siderurgica e aeronautica[1]. Il cyber spionaggio è sia un mezzo per rubare scienza e tecnologia a Stati esteri, sia un metodo di raccolta di informazioni per potenziali attacchi contro i sistemi tecnici militari, governativi e commerciali di Paesi target. “La RPC ha perpetrato il più grande trasferimento illegittimo di ricchezza nella storia umana, rubando innovazione tecnologica e segreti commerciali da aziende, Università e dai settori della difesa degli Stati Uniti e di altre nazioni”, ha concluso un gruppo di esperti della Casa Bianca.
Il costo del furto di proprietà intellettuale
Nel 2017, la Commission on the Theft of American Intellectual Property ha stimato che il furto della proprietà intellettuale costa all’economia statunitense fino a 600 miliardi di dollari l’anno, con un impatto significativo sull’occupazione e sull’innovazione. Questa cifra si avvicina al budget annuale della difesa nazionale del Pentagono e supera i profitti totali delle prime 50 aziende di Fortune 500. Le intrusioni informatiche della Cina, dunque, rappresentano una minaccia fondamentale per la competitività economica e la sicurezza nazionale degli Stati colpiti. Nel giugno 2024, l’intelligence militare olandese (MIVD) ha dichiarato che lo spionaggio informatico cinese è più esteso di quanto inizialmente pensato e prende di mira governi occidentali e aziende del settore della difesa. L’agenzia MIVD ha affermato, in particolare, che un gruppo di hacker sostenuto dallo Stato cinese, responsabile di un attacco informatico al Ministero della Difesa olandese nel 2023, ha causato almeno 20.000 vittime in tutto il mondo in pochi mesi, e forse molte di più.
Possibili rimedi: una collaborazione tra i Paesi e i settori pubblico e privato su soluzioni sistemiche
Il documento Google Threat Intelligence Group afferma che gli effetti della criminalità informatica vanno oltre il furto di denaro o la violazione dei dati. Secondo gli autori, “erodono la fiducia del pubblico, destabilizzano i servizi essenziali e, nei casi più gravi, costano vite umane”. Gli autori sostengono che la crescente convergenza della criminalità informatica e dell’hacking sponsorizzato dagli Stati richiede un’azione incisiva, pari alla minaccia rappresentata dagli avversari degli Stati nazionali. “La natura collaborativa del crimine informatico fa sì che un gruppo che viene interrotto sia rapidamente sostituito da altri che offrono lo stesso servizio. Per ottenere un successo più ampio sarà necessaria la collaborazione tra i Paesi e i settori pubblico e privato su soluzioni sistemiche come l’aumento dell’educazione e degli sforzi di resilienza”, ha dichiarato Sandra Joyce, vicepresidente del Threat Intelligence Group di Google.
“La criminalità informatica è indiscutibilmente diventata una minaccia critica per la sicurezza nazionale dei Paesi di tutto il mondo. Il mercato al centro dell’ecosistema del crimine informatico ha reso ogni attore facilmente sostituibile e l’intero problema resistente alle interruzioni. Purtroppo, molte delle nostre azioni si sono tradotte in inconvenienti temporanei per questi criminali, ma non possiamo trattare questo problema come una seccatura e dovremo impegnarci di più per avere un impatto significativo”.
Il gruppo di lavoro di Google chiede, dunque, che i governi elevino la criminalità informatica a priorità di sicurezza nazionale e che emulino le migliori pratiche di sicurezza del settore privato. “I ransomware e altre forme di crimine informatico sfruttano prevalentemente architetture tecnologiche insicure e spesso legacy”.
Note
[1]
[1] Office of the U.S. Trade Representative, Findings of the Investigation into China’s Acts, Policies, and Practices Related to Technology Transfer, Intellectual Property, and Innovation under Section 301 of the Trade Act of 1974, March 22, 2018, 153–164. https://ustr.gov/sites/default/files/Section%20301%20FINAL.PDF.
Come rendere il tuo Data Center conforme, sicuro e sostenibile
