Il Ospedale municipale di Tsurugi Handa è un mucchio triste e di modeste dimensioni in un angolo sonnolento dell’isola di Shikoku. Si affaccia su un fiume, si appoggia su una collina e serve una popolazione locale che invecchia l’ultima volta con 8.048.
Il luogo perfetto, quindi, per le cyber-bande più spietate del mondo per espandere il loro assalto alla vita di tutti i giorni, spostare il fronte di guerra del ransomware globalizzato nelle profondità dell’Asia e affrontare un nuovo panorama di vittime con uno dei dibattiti più atroci del business moderno.
A questo punto l’ospedale di Handa è quasi tornato alla normalità, salvo scuse e segnalazioni di incidenti. Ma per due mesi, alla fine dello scorso anno, è rimasta paralizzata, incapace di accettare nuovi pazienti e svolgere altre funzioni di base dopo un attacco ransomware che ha preso di mira il punto debole delle cartelle cliniche degli estorsionisti.
L’assalto a un esteso ospedale rurale giapponese durante una pandemia, in qualsiasi circostanza, offrirebbe un agghiacciante promemoria di come le bande di ransomware impenitenti siano alla ricerca di un giorno di paga. Come ha dimostrato un decennio di attacchi in rapida crescita (gli incidenti segnalati sono più che raddoppiati nel Regno Unito tra il 2020 e il 2021), nessuna azienda o istituzione è off limits, nessuna debolezza non sfruttabile, nessuna minaccia di danno collaterale troppo spietato.
I settori medico, educativo, delle infrastrutture, legale e finanziario sono i bersagli preferiti proprio perché la posta in gioco è così alta e le minacce così agonizzanti. Stanno anche diventando più sofisticati. Il tempo medio trascorso all’interno della rete di un’azienda prima che venga presentata una richiesta di riscatto è in aumento. Il tempo aggiuntivo, affermano gli ex funzionari del GCHQ nei cupi briefing sulla questione, viene speso per affinare la minaccia più acutamente dolorosa.
Anche la portata della carneficina finanziaria continua a crescere. Nel suo rapporto 2021, Sicurezza IBM ha calcolato che, a livello globale, il costo medio di una violazione di un ransomware ha raggiunto un record di 4,62 milioni di dollari, una cifra che non includeva nemmeno il pagamento del riscatto, che secondo alcuni esperti viene consegnato in almeno un terzo dei casi.
Ma l’incidente di Handa, affermano i negoziatori di cyber-riscatto presso Nihon Cyber Defense (NCD), un’agenzia che fornisce consulenza al governo giapponese e la cui squadra include il capo fondatore del National Cyber Security Center del Regno Unito — sottolinea una tendenza importante. Le bande criminali più potenti – grandi squadre di ransomware ricche di risorse e altamente professionalizzate che si pensa operino principalmente fuori dalla Russia, dalla Bielorussia e da altre parti dell’Europa orientale – ora hanno il Giappone esattamente nel mirino come la prossima vittima più facilmente schiacciabile. Le sue difese e le aspettative di attacco sono generalmente basse e la disponibilità a pagare delle aziende e delle istituzioni giapponesi è, in questa fase, elevata.
Per alcuni anni gli Stati Uniti e l’Europa sono stati il principale terreno di alimentazione per gli aggressori di ransomware ma, anche se le bande adottano nuove strategie e nascondono la loro espansione tramite strutture “affiliate”, gli affari in quei paesi stanno diventando meno attraenti. Man mano che quei mercati si sono saturati di attività criminali, l’esperienza e la resilienza delle vittime sono aumentate. Il rapporto costo-ricompensa di ogni attacco è molto più piccolo. Le nuove vulnerabilità create dai blocchi di Covid e dal lavoro a distanza hanno fornito una manna redditizia, ma questi vantaggi ora si stanno riducendo.
Convenientemente per le bande, ci sono pascoli freschi in Asia che finora sono stati relativamente poco pascolati e una delle difese naturali più forti del ricco Giappone – la sua lingua – sta rapidamente evaporando.
Gli attacchi ransomware e le violazioni del sistema dipendono da un punto di accesso iniziale. Questo spesso dipende dal fatto che una persona in un’azienda o istituzione cada in una trappola accuratamente preparata. Una volta, le e-mail e le altre comunicazioni che creavano trappole erano in un giapponese così goffo che le vittime designate puzzavano di topo. Ora, con l’aiuto del software di traduzione AI, bande criminali locali e, diciamo esperti, traduttori professionisti che potrebbero non sapere come verrà utilizzato il loro lavoro, l’esca è appesa a un giapponese pericolosamente plausibile.
L’effetto, affermano i dirigenti di NCD, è stato un forte aumento degli attacchi sia in Giappone che alle operazioni delle società giapponesi in tutto il mondo. Il numero di incidenti segnalati rimane molto basso — solo 146 nel 2021 — ma probabilmente rappresenta una frazione della cifra reale.
Il Giappone dovrà quindi affrontare il triste dilemma rischio-rendimento familiare ad altre parti del mondo. Le aziende e le organizzazioni dovrebbero pagare il riscatto? E, soprattutto, i governi dovrebbero rendere legale (come nel Regno Unito) o illegale (come negli Stati Uniti) farlo? Come il Giappone scoprirà a proprie spese, la capacità dei criminali di alzare la posta in gioco della loro minaccia è limitata solo dal loro desiderio che l’intero incidente finisca con il loro pagamento.
Ciò che non è sul tavolo, come hanno scoperto l’ospedale di Handa ei suoi pazienti, è la speranza che l’oscurità, le dimensioni e la linea di lavoro siano una protezione.