Da Campari agli ospedali, i ricatti hacker

Multinazionali, ospedali, compagnie aeree: erano gli obiettivi di Ragnar Locker, uno dei gruppi hacker più micidiali al mondo. Rubavano dati sensibili e chiedevano riscatti dai 5 e ai 70 milioni di dollari per restituirli. Tra le vittime aziende del calibro di Campari e Dollmar spa, grosso distributore di prodotti chimico-industriali. O l'ospedale Mayanei Hayeshua di Tel Aviv, l'ospedale di Alessandria e la TAP Air Portugal, la compagnia aerea di bandiera portoghese. In molti casi gli hacker ottenevano il denaro (in criptovaluta). Tuttavia spesso non restituivano i dati sottratti e chiedevano altri soldi per scongiurare la loro pubblicazione sul darkweb («doppia estorsione»).

L'operazione internazionale «Talpa» ha coinvolto le cyber polizie di 12 Paesi e in modo molto attivo anche la Postale italiana, coordinata dal Dipartimento reati informatici della Procura di Milano, guidata dal procuratore aggiunto Eugenio Fusco. Le agenzie Eurojust e Europol hanno sovrinteso allo scambio di informazioni e hanno dato supporto alla fase operativa. Le indagini, molto specializzate a livello tecnico, hanno portato a dare un nome a uno dei «fantasmi» di Ragnar Locker. Si tratta di un informatico 35enne, cittadino svizzero residente in Repubblica Ceca, che è stato fermato all'aeroporto di Parigi. Un elemento di primo piano della gang cyber criminale, uno sviluppatore dei software «malevoli» usati per cifrare i dati delle aziende attaccate. Questi hacker mettono a segno attacchi informatici di tipo ransomware: incursioni distruttive, in grado di cifrare, e quindi paralizzare, i sistemi colpiti, pregiudicando così il funzionamento di servizi pubblici essenziali in vari settori, come sanità, energia, trasporti, comunicazioni. Le aziende italiane sono nel mirino dal 2020.

In molti casi gli hacker intimavano alle vittime di non rivolgersi alla polizia. In caso contrario avrebbero diffuso i dati rubati sulla propria pagina nel darkweb, chiamata «Wall of Shame» (muro della vergogna), ora sotto sequestro. La Postale ha collaborato nelle indagini con l'FBI, la Gendarmeria francese e le polizie di altri Paesi europei. Il fermo del 35enne e il sequestro dei suoi dispositivi hanno portato anche al sequestro dei server cui si appoggiava l'infrastruttura criminale. Si trovavano sparsi tra Germania, Lettonia, Svezia, Olanda. Gli inquirenti si aspettano che vengano riattivati altrove, però sottolineano la novità e l'importanza di avere in mano macchine zeppe di dati di interesse investigativo. L'Italia ha contribuito non solo con le intercettazioni telematiche internazionali, ma anche nell'aver localizzato, in vacanza a Milano, il 35enne indagato e nell'avergli dato un volto. L'operazione «Talpa» è un salto di qualità nel contrasto alla pirateria informatica. «Oltre che - spiegano gli inquirenti - importante in chiave preventiva.