Una richiesta di riscatto fa tremare gli Uffizi. Gli hacker: “Dateci 300 mila euro, da pagare in criptovalute”. Sospetti sul gruppo Medusalocker.
Un minuzioso attacco hacker ha colpito gli Uffizi di Firenze. Secondo chi sta indagando, il piano di attacco digitale sembra mirato, pianificato fin nei minimi dettagli, e il riscatto prevede 300 mila euro in criptovalute da pagare in 72 ore, un ultimatum arrivato sul telefono personale del direttore Simone Verde, all’inizio di febbraio. Non più di tre anni fa, gli hacker che assaltarono il sito delle Poste ne chiesero 500 mila. La tecnica usata nell’attacco, secondo quanto emerge dall’inchiesta aperta dalla procura per “tentata estorsione e accesso abusivo ai sistemi informatici”, farebbe pensare a metodi e strategie tipiche delle organizzazioni cybercriminali internazionali basate nell’area dell’ex Unione Sovietica, ma con contatti, ramificazioni e capacità operative su scala globale. Restano nei sistemi aggrediti per mesi, svuotano i server e quando il materiale è già stato portato via, bloccano i sistemi con la richiesta di un riscatto.
A Firenze sono arrivati anche i tecnici dell’Agenzia per la cybersicurezza nazionale. Obiettivo: capire da dove siano entrati nei sistemi degli Uffizi. La falla sarebbe stata proprio sotto gli occhi di tutti, sul sito istituzionale. Gli hacker – dicono fonti interne – sarebbero riusciti a infiltrarsi nella rete utilizzando il programma usato ogni giorno da centinaia di migliaia di persone in tutto il mondo per scaricare le foto dei capolavori dell’enorme patrimonio artistico: “Era uno dei pochi a non essere stato aggiornato dal nostro responsabile informatico”, dicono all’interno del museo. Il colpo agli Uffizi sarebbe stato mirato e non ci sarebbe alcun legame con l’aggressione ai server dell’Università La Sapienza di Roma avvenuta nelle stesse ore e con modalità in parte simili. Insomma, chi ha colpito agli Uffizi non sarebbe andato a caso. In sostanza, l’attacco sarebbe iniziato nei mesi precedenti, con gli hacker che si sono introdotti nei software degli Uffizi sfruttando un ‘bug’ sul sito istituzionale, il sistema per scaricare le immagini a bassa risoluzione, e da lì hanno catturato i dati relativi all’intero polo museale, che ricomprende la Galleria degli Uffizi, il Corridoio vasariano che scorre su Ponte Vecchio, Palazzo Pitti e Boboli. Non solo.
I sospetti su Medusalocker
Uno dei nomi che circola tra gli investigatori è quello di Medusalocker, un gruppo comparso nel 2019 e già segnalato per attacchi sferrati contro infrastrutture pubbliche e aziende, dalla sanità ai servizi fino all’industria. ”Siamo un gruppo anonimo di hacker responsabile dell’intrusione nella vostra rete — si legge nel messaggio recapitato al direttore Verde —. Non siamo dilettanti, ma un team professionale. Abbiamo passato molto tempo a esplorare i vostri file, studiare la struttura della rete, cercare opere rare, raccogliere password e dati personali, e accedere a email e chat. Molti file sono stati rubati e salvati sui nostri server». Segue elenco puntuale del bottino: dati contabili, dati personali dei lavoratori, contatti, scansioni di opere d’arte, database, progetti architettonici e piani di sicurezza. Quindi, l’ultimatum: «Pubblicheremo i dati nel dark web, li venderemo all’asta”. E a chiudere la suggestione di una «talpa»: alcuni membri del vostro staff stanno già collaborando con noi».
Le parole del professor Paganini
Queste le parole del professor Pierluigi Paganini, uno dei massimi esperti di cybersecurity ed intelligence: “Questi gruppi criminali hanno nutrite reti di affiliati a cui vendono i loro malware, i codici maligni che vengono utilizzati per infettare le vittime, trattenendo una parte dei riscatti. Una percentuale che varia dal tipo di vittima e dall’importo della cifra, si andrebbe dal 5 al 20 per cento”. Ed entrare in contatto con loro sarebbe piuttosto facile: “Anche lei potrebbe essere un loro affiliato — scherza Paganini —. Se il target fosse, paradossalmente, il suo giornale, non sarebbe per niente difficile. Potrebbe agevolmente mettersi in contatto con l’organizzazione, comprare il loro malware e diffonderlo senza problemi in redazione. Basta una mail. Se aperta, infetta il sistema». Alla portata di chiunque, insomma. Uno scenario che complicherebbe non poco il quadro: dietro queste organizzazioni, quindi, ci potrebbe essere chiunque. Gli Uffizi smentiscono il furto di dati “sensibili”, ma il metodo operativo di chi ha bucato i sistemi del museo sembra essere quello tipico del gruppo hacker su cui si starebbero concentrando le indagini. “Organizzazioni del genere – spiega ancora Paganini – entrano in un’infrastruttura e cercano di passare all’interno più tempo possibile, raccogliere le informazioni più importanti da portare fuori è cruciale, serve a mettere pressione alla vittima quando sarà chiesto il riscatto».
