Nella digital economy basta levare un tassello per far cadere un castello. Con la polarizzazione dei servizi informatici strategici che stanno alla base di intere filiere di business è sufficiente che un attacco colpisca un’applicazione leader per produrre una miriade di data breach si producono lungo tutti gli anelli della catena che ne fanno uso più o meno diretto. E così può accadere che un cyberattacco ai danni di una piattaforma virtuale si traduca, in men che non si dica, in un gigantesto shutdown fisico che impatta sulla vita reale di milioni di persone, impedendo loro l’ordinario accesso all’approvvigionamento domestico perché è stato ridotto in ginocchio un colosso della grande distribuzione (e con esso, magari, l’unica rivendita di beni di prima necessità per gli abitanti di un paesino sperduto).

Un attacco informatico ad uno dei maggiori IT provider americani sta causando gravi ripercussioni su scala globale al punto che la catena svedese di supermercati Coop ha dovuto chiudere ben 800 punti vendita. Gli hacker avrebbero chiesto 70 milioni di dollari in bitcoin per rilasciare i dati presi in ostaggio.

Si ritiene che più di 1.000 aziende potrebbero essere state colpite dall’attacco cha preso di mira Kaseya, società con sede a Miami, che fornisce servizi IT a circa 40.000 clienti in tutto il mondo molte delle quali a loro volta forniscono supporto informatico a piccole imprese. Si tratta dunque inteso a minare intere supply chain, prendendo di mira una società che serve migliaia di aziende. L’attacco è di tipo ransomware, una forma di rapimento digitale in cui gli hacker criptano i dati delle vittime e poi chiedono denaro per ripristinarne l’accesso, ed “è probabilmente il più grande di tutti i tempi” secondo Ciaran Martin, professore di cybersecurity all’Università di Oxford. Impossibile prevederne ora gli effetti ulteriori.

La catena di supermercati svedese Coop è stata tra le vittime indirette, con i registratori di cassa di 800 negozi paralizzati da settimana scora quando il suo subappaltatore IT Visma Esscom è stato colpito dall’attacco e con esso i POS del grande distributore. I pochi store che hanno potuto riaprire lo hanno fatto grazie a soluzioni di pagamento alternative come l’e-payment via smartphone. La società di cybersecurity ESET ha detto di aver identificato le vittime dell’hacking in almeno 17 paesi, dal Sud Africa alla Gran Bretagna al Messico. Il ministero dell’istruzione della Nuova Zelanda ha detto che almeno due scuole sono state colpite.

Gli esperti ritengono che l’attacco è stato probabilmente effettuato da REvil, un gruppo di hacker russo noto come un prolifico perpetratore di attacchi ransomware. L’FBI ritiene che REvil, che va anche sotto il nome di Sodinokibi, era dietro un’incursione con medesima tecnica lanciata il mese scorso contro gigante globale della lavorazione della carne JBS. L’azienda con sede in Brasile ha finito per pagare 11 milioni di dollari in bitcoin agli hacker.

Un post sul blog degli hacker ha detto che sarebbe stato rilasciato uno strumento di decrittazione online “così tutti saranno in grado di recuperare dall’attacco in meno di un’ora”, se avessero ricevuto 70 milioni di dollari in bitcoin. Gli hacker hanno anche raggiunto le singole vittime e chiesto riscatti più piccoli, ha aggiunto Martin: “Per quanto ho capito, hanno emesso richieste che sono circa 50.000 dollari per le organizzazioni più piccole, che salgono a 5 milioni di dollari per le organizzazioni più grandi“.

Domenica scorsa Kaseya ha detto che credeva che il danno fosse stato limitato a un “numero molto piccolo” di clienti che utilizzano il suo software VSA, che consente alle aziende di gestire reti di computer e stampanti da un unico punto. Ma la società di cybersicurezza Huntress Labs, che stava lavorando con i partner presi di mira nell’attacco, ha presto rivelato il software è stato manipolato “per criptare più di 1.000 aziende”. Kaseya ha riferito di aver “immediatamente chiuso” i suoi server dopo aver rilevato l’attacco e ha avvertito i suoi clienti VSA di fare lo stesso, “per evitare che siano compromessi”. L’azienda ha rilasciato uno strumento che permette ai suoi clienti di scoprire se i loro sistemi informatici sono stati compromessi dall’attacco.

Oggi Coop Svezia ha annunciato che tutti negozi riapriranno. Il tutto dopo una settimana di incassi quasi azzerati, con un immagine aziendale da ricostruire, ingenti spese per tornare operativi (anche tramite ampliamento di metodi alternativi di pagamento), iniziative per evitare lo spreco di migliaia di tonnellate di merce deperibile. In un comunicato l’azienda ha dichiarato: “Negli ultimi anni Coop ha fatto grandi investimenti nell’IT e nella sicurezza, ma ci rendiamo conto che dobbiamo fare di più. Questo è un attacco a tutta la società, non solo alla società svedese, ed è raro nella sua portata. Analizzeremo in futuro quali ulteriori sforzi devono essere fatti e come questo ci ha colpito sia finanziariamente che in altri modi, ma per ora siamo felici che siamo tornati e che insieme abbiamo superato una crisi di proporzioni globali. Ci sono probabilmente molte aziende e autorità che hanno imparato molto da questo incidente“.

In effetti, c’è molto ancora da imparare. E c’è, soprattutto, da studiare tanto ed investire senza riserve nello sviluppo di soluzioni che consentano una diversa architettura del mondo digitale. Questo se vogliamo evitare di vivere sotto minaccia perenne che un colpo ad una singola tessera abbatta ogni volta tutte le altre che compongono il domino IT su cui ormai basiamo anche i servizi essenziali alle persone. Si pensi solo ai rischi per la sanità: nell’ultimo anno – secondo un recente studio di Check Point – gli attacchi agli ospedali sono cresciuti in media del 45% solo dal novembre scorso e del 81% solo in Italia. E, come già capitato più volte (complice anche la vulnerabilità generale causata dalla pandemia in atto), un attacco rasnomware ad un gestionale clinico può impedire ai medici che si accingono ad un’operazione urgente di accedere alla cartella sanitaria di un paziente (che potrebbe esser sotto terapia anticoagulante o intollerante a determinati anestetici).