Perché ciò che è accaduto a Zètema sembra essere un attacco ransomware e non un DDoS

Visto che l’Italia, ultimamente, continua a essere una delle nazioni che è vittima preferita degli attacchi informatici, abbiamo iniziato a sviluppare una certa propensione alla comprensione della loro tipologia. Anche senza andare troppo nel tecnico, esistono – di fatto – degli indizi circostanziali che ci permettono di capire quando un attacco è realmente pericoloso, quando è soltanto un gesto dimostrativo, quando viene rivendicato pubblicamente e quando, invece, è in corso una sorta di trattativa per una richiesta di riscatto. Da questi elementi, si è più propensi a identificare l’attacco che ha colpito la galassia dei portali di Zètema (la società partecipata al 100% dal comune di Roma) come un ransomware.

LEGGI ANCHE > L’Italia continua a essere al centro degli attacchi informatici

Attacco ransomware Zètema, quali sono gli indizi che lo identificano

Su alcune fonti di stampa si parla di presunti responsabili filorussi. Come abbiamo avuto modo di notare negli ultimi mesi, tuttavia, quando dietro a un attacco a un portale istituzionale italiano c’era un gruppo di hacktivisti russi, l’azione veniva sbandierata pubblicamente e ai quattro venti. In Italia, ad esempio, sono note le gesta di NoName057. Nelle immediate circostanze dell’attacco a un portale istituzionale (siti ministeriali, delle forze dell’ordine, di istituti di credito), i gruppi Telegram attraverso cui comunicavano si riempivano di rivendicazioni, di link a siti non funzionanti, di minacce e prese in giro.

Tuttavia, si trattava sempre di attacchi DDoS che, al massimo, rendevano i siti – in seguito a un numero molto alto di chiamate da parte di bot – inaccessibili per alcune ore. Nel giro di un giorno, con l’intervento delle autorità nazionali preposte, l’emergenza rientrava, i portali tornavano a essere navigabili, i titolari dei portali stessi si scusavano con i cittadini e speravano che la brutta figura potesse rientrare in poco tempo.

Al contrario, nel caso di Zètema, queste circostanze non si sono verificate. Solitamente, infatti, quando c’è un ransomware (con dati che vengono protetti da una chiave conosciuta solo agli attaccanti), le trattative per sbloccare questi dati avvengono nelle back doors dei siti o attraverso altri canali. Al momento, è trapelata la richiesta di riscatto di un milione di euro in bitcoin, ma sulla fonte di questa richiesta e sulle sue responsabilità ancora non si conosce nulla di ufficiale.

Il fatto che non sia un’azione dimostrativa (nonostante la natura pubblica del soggetto) è determinato anche dalle tempistiche con cui si sta portando avanti questo attacco. I pirati informatici, infatti, non hanno agito per creare un disagio, ma per ottenere un vantaggio economico. Attraverso un sistema che si mostra essere, ancora una volta, il tallone d’Achille di tutti i soggetti istituzionali italiani, che non hanno ancora sviluppato una sufficiente cultura della cybersicurezza.