Kaspersky: 'La maggior parte degli attacchi ransomware parla russo'

L’esperto mondiale di cyber security spiega a cosa si deve l’incremento mondiale dei crimini online e come contrastarli con il machine learning

Redazione ANSA

di Alessio Jacona*

L’attacco alla SIAE da parte di Everest, un gruppo di cybercriminali che ha sottratto all’associazione 60 gigabyte di dati chiedendo 3 milioni di euro di riscatto, è solo l’ultimo di una lunga serie di cyber crimini che stanno colpendo aziende e istituzioni italiane. Prima della SIAE, a guadagnarsi gli onori della cronaca era stata la Regione Lazio, vittima ad agosto di un attacco ransomware con cui i criminali avevano bloccato diversi servizi ai cittadini chiedendo, ancora una volta, un riscatto.

«Gli attacchi ransomware non sono una cosa nuova, esistono da quasi vent’anni, solo che prima non avvenivano su così larga scala», spiega Eugene Kaspersky, esperto di cyber security di fama mondiale, nonché cofondatore e CEO dell’omonima azienda produttrice di soluzione per la sicurezza informatica. «Ora però la pandemia ha colpito duramente anche gli interessi delle organizzazioni criminali - continua - che ostacolate dai lockdown si dedicano di più a questo tipo di crimini online per incassare cripto valute».

C’è poi anche il fatto che, sempre a causa della pandemia, in moltissimi casi si è dovuti ricorrere al lavoro a distanza, il quale di fatto ha indebolito le difese digitali di aziende e pubbliche amministrazioni: «Diversi report ci dicono che, quando sono state costrette a far lavorare i propri dipendenti da casa, le piccole, medie e grandi imprese spesso non sono state in grado di garantire lo stesso livello di sicurezza informatica che offrivano sul posto di lavoro, per poi subire attacchi ai loro network tramite brecce aperte nei computer casalinghi dei loro dipendenti», spiega sempre Kaspersky.

Chi c'è dietro i cyber attacchi? Con che tipo di criminali abbiamo a che fare?
«Esistono diversi tipi di criminali: principianti, di medio livello e professionisti. I primi due tipi parlano tutte le lingue, anche se nel cybercrime la lingua più parlata è il cinese semplificato, cui seguono russo, spagnolo e portoghese, turco, inglese e molti altri. Quando invece parliamo di professionisti di alto livello, molti di loro parlano russo. È poi anche molto interessante vedere come differenti tipi di crimini informatici afferiscano a lingue differenti: per esempio, la maggior parte degli attacchi ai sistemi bancari parlano spagnolo e portoghese. Non sappiamo da quali regioni del mondo provengano, ma è probabile che si tratti del Sudamerica. Molti dei botnet invece parlano cinese, mentre la maggior parte degli attacchi ransomware parla russo».

A cosa si deve questa “specializzazione”?
«Le ragioni sono diverse: per esempio, in Cina le cripto valute sono proibite e senza di esse non si possono chiedere riscatti con i ransomware. E poi c’entrano anche i rapporti internazionali tra le forze dell'ordine: a volte organismi come l’Interpol ci hanno chiesto di investigare crimini informatici e siamo stati in grado di localizzare i criminali, ma il problema è che in Russia sono perseguibili solo i crimini informatici che avvengono sul territorio della federazione russa, gli altri no. I criminali lo sanno e se ne approfittano».

Come possiamo difenderci da questi attacchi?
«Dipende innanzitutto se l’attacco è rivolto a un singolo individuo o a un’azienda, e nel secondo caso, da che tipo di azienda viene colpita: per le singole persone e le piccole realtà imprenditoriali, il consiglio è installare un buon software di cyber security e di tenere sempre il cervello “acceso”: non fidatevi di chiunque in rete, non fate clic su qualsiasi link e se ricevete un’e-mail che non vi aspettavate, anche da una persona conosciuta, fate una telefonata per verificare. Almeno in questo caso, essere po’ paranoici non è una cattiva idea».

E per gli altri?
«Per le grandi aziende le cose stanno diversamente, perché devono difendersi da attacchi molto ben costruiti da professionisti di alto livello. In questo caso serve fare un esame approfondito delle proprie infrastrutture alla ricerca di vulnerabilità, nonché definire i peggiori scenari possibili, quelli che possono essere letali per la propria attività, quindi bisogna approntare una strategia di reazione. Quest’ultima può basarsi su l’aggiornamento di software e delle infrastrutture, ma anche e soprattutto sul training e l’aggiornamento del personale. E non basta farlo una volta, deve essere un processo costante, reiterato costantemente, perché le minacce si evolvono. È costoso, ma necessario».

Qual è il ruolo dell’IA nel crimine informatico, da un lato e dall’altro della “barricata”?
«Noi facciamo largo uso di machine learning per esempio per analizzare nuovi file sospetti o per automatizzare i processi di monitoraggio. Del resto abbiamo a che fare con milioni di nuovi file ogni giorno e sarebbe impossibile vagliarli manualmente. Inoltre, utilizziamo il machine learning anche per proteggere obiettivi sensibili identificando in tempo reale attacchi in corso».

E i criminali?
«Non abbiamo prove dirette che anche i criminali utilizzino algoritmi di machine learning perché non hackeriamo i loro sistemi, però ci sono molti casi di attacchi condotti ventiquattr’ore al giorno, sette giorni su sette, con caratteristiche di comportamento che sembrano essere proprio quelle di un algoritmo. Quindi la risposta è probabilmente sì».

Quali criticità ci aspettano nel prossimo futuro?
«Il problema principale che dovremo affrontare è che non abbiamo abbastanza specialisti di cyber security nel settore industriale. Le piccole medie imprese sono mediamente molto protette, ma le industrie le cui infrastrutture critiche sono e saranno sempre più connesse e digitalizzate, sono a rischio».

---

*Giornalista, esperto di innovazione e curatore dell’Osservatorio Intelligenza Artificiale ANSA.it

 

RIPRODUZIONE RISERVATA © Copyright ANSA