Il ricatto degli hacker a cui ha ceduto la RUAG sotto la lente della Difesa

Il ciberattacco che ha colpito la filiale americana di Ruag e il riscatto successivamente pagato ai pirati informatici sono oggetto di un'indagine del Dipartimento federale della difesa (DDPS), ha indicato oggi il Consiglio federale all'Ora delle domande al Nazionale. Il Governo continua a raccomandare di non cedere alle richieste di riscatto.

Il gruppo di hacker Akira aveva attaccato i sistemi informatici della filiale Ruag LLC in Virginia (Stati Uniti) lo scorso autunno. Alcuni dati erano stati sottratti e i pirati informatici avevano poi minacciato di pubblicarli sul dark web, esigendo un riscatto.

L'azienda di armamenti appartenente alla Confederazione, Ruag MRO, aveva pagato «una piccola somma», aveva indicato all'inizio del mese il presidente del consiglio di amministrazione Jürg Rötheli ai microfoni della radio svizzero-tedesca SRF. Non aveva comunicato un importo preciso. L'azienda era così riuscita a recuperare tutti i dati.

In una risposta congiunta a sette consiglieri nazionali, il Governo scrive che le circostanze concrete dell'incidente, così come il pagamento del riscatto, sono attualmente esaminate dal DDPS con il sostegno di Ruag MRO. Il Dipartimento della difesa informerà successivamente in merito le commissioni parlamentari di vigilanza.

«In ogni caso», il Consiglio federale continua a sostenere la raccomandazione dell'Ufficio federale della cibersicurezza (UFCS) di non cedere alle richieste di riscatto in caso di incidente che coinvolga un ransomware. L'UFCS sottolinea che tali fondi alimentano attività criminali.

Il gruppo Akira fa parte delle organizzazioni che utilizzano ransomware a livello internazionale. Comparso nel marzo 2023, il gruppo pratica la «doppia estorsione»: i dati vengono prima rubati e poi cifrati, e gli autori chiedono un riscatto per la loro decifratura e per evitarne la pubblicazione. I pagamenti sono generalmente richiesti in criptovalute, spesso in Bitcoin.

Il gruppo di hacker utilizza software specifici e un'infrastruttura informatica distribuita in diversi Paesi. Le autorità svizzere avevano già messo in guardia da un aumento degli attacchi attribuiti ad Akira, con circa 200 aziende colpite nella Confederazione.

La filiale interessata, Ruag LLC, impiega otto persone. Funge da ufficio di collegamento con partner americani e fornisce in particolare pezzi di ricambio per aerei da combattimento nonché servizi di manutenzione. Ruag MRO aveva precisato che la filiale statunitense disponeva di sistemi informatici autonomi, limitando l'impatto dell'attacco sul resto del gruppo.