La Ruag ha pagato il riscatto Berna vuole vederci chiaro

La Ruag ha versato un riscatto al gruppo di hacker Akira, che lo scorso autunno aveva violato la filiale statunitense dell’azienda svizzera di armamenti. Si presume che i pirati informatici abbiano rubato informazioni militari riservate e contratti, li abbiano crittografati e poi minacciato di renderli pubblici sul dark web. «Abbiamo pagato una piccola cifra e fortunatamente abbiamo recuperato tutti i dati», aveva detto alla SRF il presidente del Consiglio d’amministrazione Jörg Rötheli, senza però precisare l’entità del pagamento. L’azienda ha spiegato di aver preso tale decisione dopo un processo chiarificatore interno e dopo essersi consultata con esperti legali statunitensi. Il pagamento sarebbe stato effettuato nell’ambito dell’autonomia imprenditoriale.

La scelta di pagare è in contrasto con le indicazioni dell’Ufficio federale della cibersicurezza (UFCS) che in linea di principio sconsiglia di versare riscatti, per non incoraggiare ulteriori attacchi e contribuire così al finanziamento di attività criminali. Il Dipartimento federale della difesa, che rappresenta la Confederazione come proprietaria di Ruag, ha dichiarato di non essere stato informato del pagamento in anticipo, mentre non ha voluto commentare il fatto che un consorzio federale abbia deciso di pagare il riscatto.

Il caso è arrivato anche in Parlamento. Da più parti sono stati sollevati interrogativi, perché il pagamento del riscatto, nonostante la chiara raccomandazione dell’UFCS di non farlo, avrebbe potuto dimostrare ad altri hacker che le aziende federali possono essere ricattate. In una risposta congiunta a sette consiglieri nazionali, il Governo ha scritto (nell’ambito dell’ora delle domande) che le circostanze concrete dell’incidente, così come il pagamento del riscatto, sono attualmente esaminate dal DDPS con il sostegno di Ruag MRO (MRO è un acronimo inglese, che sta per «maintenance, repair and overhaul»). Il Dipartimento della difesa informerà successivamente in merito le commissioni parlamentari di vigilanza. «In ogni caso», il Consiglio federale dice di continuare a sostenere la raccomandazione dell’Ufficio federale della cibersicurezza di non cedere alle richieste di riscatto in caso di incidente che coinvolga un ransomware. L’UFCS sottolinea che tali fondi alimentano attività criminali.

Il gruppo Akira fa parte delle organizzazioni che utilizzano ransomware a livello internazionale. Comparso nel marzo 2023, il gruppo pratica la «doppia estorsione»: i dati vengono prima rubati e poi cifrati, e gli autori chiedono un riscatto per la loro decifratura e per evitarne la pubblicazione. I pagamenti sono generalmente richiesti in criptovalute, spesso in Bitcoin.

Il gruppo di hacker utilizza software specifici e un’infrastruttura informatica distribuita in diversi Paesi. Le autorità svizzere avevano già messo in guardia da un aumento degli attacchi attribuiti ad Akira, con circa 200 aziende colpite nella Confederazione.

La filiale interessata, Ruag LLC, impiega otto persone. Funge da ufficio di collegamento con partner americani e fornisce in particolare pezzi di ricambio per aerei da combattimento nonché servizi di manutenzione. Ruag MRO aveva precisato che la filiale statunitense disponeva di sistemi informatici autonomi, limitando l’impatto dell’attacco sul resto del gruppo.