"Tratto con i criminali del web". Una vita da cyber negoziatore

Aziende ricattate, Enrico Corradini viene ingaggiato per recuperare dati sensibili rubati dagli hacker "Pagare il riscatto è l’ultima spiaggia. Prima proviamo a intervenire per far abbassare le pretese"

Cyber negoziatore

Cyber negoziatore

Roma, 29 giugno 2021 - Come Kevin Spacey nel ‘Negoziatore’, ma invece che usare il telefono Enrico Corradini, responsabile legale di Var Group (società che fa parte di Sesa), tratta con i cyber-criminali attraverso il dark web e mail cifrate. E per fortuna gli ostaggi non sono in carne e ossa, ma sono fatti di bit. Il 38enne infatti molto spesso collabora con Yarix, altra società controllata dal gruppo empolese, per aiutare le aziende a recuperare dati rubati dalle gang di hacker. "Il nostro obiettivo primario non è quello di pagare il riscatto. Il più delle volte – spiega – cerchiamo di guadagnare tempo per capire che tipo di informazioni sono state sottratte e se i nostri specialisti possono intervenire. Aprire i cordoni del portafoglio è sempre l’ultima spiaggia ed è un’operazione che, una volta concordato il prezzo, lasciamo chiudere al nostro cliente".

Come funziona una cyber-negoziazione?

"Quando una ransomware gang attacca un’azienda, lascia un messaggio con le informazioni per pagare il riscatto e recuperare i dati. Se riceviamo il mandato, trattiamo per i nostri clienti. Entriamo in contatto con gli hacker attraverso il link che hanno inviato, e che molto spesso rimanda al dark web, e mentre negoziamo cerchiamo di capire come abbiano fatto a entrare nei sistemi informatici della società hackerata e che dati abbiano rubato".

I computer dell’azienda nel frattempo restano bloccati?

"Gestiamo casi molto complessi, che coinvolgono gang altamente specializzate. Molto spesso criptano l’intera infrastruttura informatica e portano via diversi gigabyte di informazioni. La minaccia è che se il pagamento non avviene entro un certo lasso temporale, i dati verranno pubblicati sul dark web. Cosa che può avere un effetto devastante sull’immagine di alcuni marchi".

Quando entra in azione lei dichiara di essere un negoziatore o si finge un dipendente dell’azienda attaccata?

"Dipende. Alcune ransomware gang non ci tollerano. Altre invece preferiscono trattare con noi, sanno che siamo professionisti. In generale abbiamo a che fare con una quindicina di gruppi, quasi tutti provenienti dall’Est Europa e dalla Russia".

Come sono strutturati?

"Militarmente. Ognuno ha un ruolo: c’è chi si occupa della selezione delle vittime, chi studia i dati economici e finanziari dei bersagli per stabilire l’entità del riscatto. Ci sono quelli che testano la resistenza dei sistemi di difesa e quelli che effettuano l’attacco. E poi c’è il negoziatore, la persona incaricata di ottenere più soldi possibili dall’azienda attaccata".

Quali sono le gang con cui è più difficile trattare?

"REvil è sicuramente una delle più toste. Fino a un anno fa se passavano più di 3-4 giorni dall’inizio della negoziazione raddoppiavano la richiesta. Parliamo di cifre a sei zeri. Con Ragnar Locker le trattative sono difficili e molto raramente abbassano le pretese. Bisogna rapidamente costruire una narrativa efficace che permetta di allungare i tempi della trattativa".

E come si fa?

"All’inizio si usa un linguaggio da sottomessi, poi con il passare delle ore si cerca di diventare più assertivi. Bisogna lentamente mettere dei punti fermi. Ad esempio si può dire che l’azienda dopo l’attacco sarà costretta a mettere i dipendenti in cassa integrazione e che quindi non si può permettere di pagare la cifra richiesta. I negoziati avvengono via chat o via mail, le parole vanno sempre pesate".

Quanto pagano le aziende italiane per riavere i loro dati?

"Secondo gli ultimi studi la media è di 170mila dollari. Il costo medio per ripartire dopo un attacco del genere, che comprende il periodo di interruzione e le spese per ripristinare i sistemi, si aggira sui 680mila dollari".

Un buon cyber-negoziatore che sconto riesce a ottenere?

"Molto dipende dalla gang. Si può arrivare anche al 70%, ma ci tengo a ribadire che il pagamento è sempre l’ultima spiaggia".

Come fa ad essere sicuro che, pagato il riscatto, gli hacker manterranno la parola?

"Solo in un caso sugli oltre 50 che ho trattato la gang non ha tenuto fede alle promesse. In genere questi hacker sono affidabili perché non rispettare gli impegni riduce drasticamente le possibilità di venire pagati in futuro. Parliamo del non plus ultra della pirateria informatica".