Gli hacker di Akira attaccano la Svizzera: «Danni per milioni di franchi»
Il gruppo di pirati informatici ha già colpito più di 200 imprese attive nella Confederazione. Le autorità: «Non pagate riscatti ma denunciate».
BERNA - La piazza economica elvetica è da mesi sotto attacco informatico da parte di un gruppo di pirati informatici denominato Akira che ha causato, a sta causando, danni per milioni di franchi e di centinaia di milioni di dollari nel mondo intero. Le autorità invitano a non pagare riscatti e ad avvertire le autorità, che al riguardo hanno avviato vari procedimento penali.
Circa 200 imprese operanti nella Confederazione sono state oggetto di attacchi ransomware, indica una nota congiunta del Ministero pubblico della Confederazione (MPC), dell'Ufficio federale di polizia e dell'Ufficio federale della cibersicurezza.
Dall'aprile 2024 il MPC conduce un procedimento penale contro ignoti in seguito a diversi attacchi ransomware - negli ultimi mesi da 4 a 5 a settimana, un record - commessi tra maggio 2023 e settembre 2025 contro imprese svizzere rivendicati dal gruppo AKIRA.
Modus operandi - Questo gruppo è apparso nel marzo 2023, diventando rapidamente oggetto di diversi articoli di stampa specializzata. Agisce mediante programmi speciali e dispone di un'infrastruttura informatica distribuita in più Paesi a livello internazionale. Esercita quella che viene chiamata doppia estorsione, una pratica che consiste nell'acquisire illecitamente i dati della vittima prima di crittografarli.
Una volta crittografati, la vittima può solo constatare il blocco, totale o parziale, della sua rete informatica che rende impossibili le attività dell'impresa. Se il riscatto non viene pagato entro i termini stabiliti, AKIRA non solo non fornisce la chiave di decrittazione dei dati, ma li pubblica anche in un blog ospitato sul darknet. Questo blog viene definito un DLS ("Data Leak Site"). Il pagamento del riscatto avviene in criptomoneta, la maggior parte delle volte in bitcoin.
Non pagare riscatti -Alla luce delle informazioni raccolte finora nell'ambito dell'inchiesta in corso, le autorità credono che esista un certo numero di casi non denunciati, perché le vittime di questo gruppo, temendo per la loro reputazione, pagano i riscatti chiesti e/o rinunciano a sporgere denuncia.
Le autorità sottolineano che sporgere denuncia permette di aumentare le possibili piste di inchiesta e quindi le probabilità di successo nella lotta contro questi gruppi criminali. Il pagamento di riscatti contribuisce a finanziare le attività degli autori. Per questo si raccomanda quindi di consultare le autorità prima di prendere qualsiasi misura in caso di richiesta di riscatto legata a un ransomware.
Come proteggersi -Benché simili attacchi siano complessi, la maggior parte di essi è evitabile. Il più delle volte la porta di entrata sono i sistemi non aggiornati e gli accessi a distanza come il VPN (Virtual Private Network) e il RDP (Remote Desktop Protocol) non resi sicuri con un’identificazione a due fattori (2FA).
In caso di incidente tutte le connessioni Internet (web, e-mail, accesso a distanza e VPN da sito a sito) devono innanzitutto essere bloccate. I backup devono essere immediatamente verificati e resi sicuri. I sistemi devono anche essere fisicamente scollegati dalla rete infetta non appena possibile. L'obiettivo principale della soluzione dell'incidente è trovare la via di infezione e impedirne una nuova.
