Le quattro maggiori compagnie di trasporto marittimo al mondo sono state colpite da attacchi ransomware. L'ultima in ordine è tempo è stata CMA CGM Group, sul cui sito campeggia ancora l'avviso a caratteri cubitali: "il 28 settembre 2020 CMA CGM Group (esclusa CEVA Logistics) è stato vittima di una attacco informatico".

L'attacco in questione è stato opera del tenuto ransomware Ragnar Locker, il primo ad avere usato le macchine virtuali per bypassare i sistemi di sicurezza e seminare il caos nelle aziende.   

Per tutte la giornata di ieri non è stato possibile accedere al sistema di prenotazione dei container perché le filiali cinesi a Shanghai, Shenzhen, e Guangzhou sono rimaste bloccate. Stando alla nota ufficiale, ora l'accesso ai sistemi informativi sta gradualmente riprendendo. Ovviamente è in corso un'indagine che coinvolge sia il team interno sia i consulenti esterni. A quanto pare i danni sono stati limitati, perché "non appena è stata rilevata la violazione della sicurezza, è stato interrotto l'accesso esterno alle applicazioni per impedire la diffusione del malware". 
Una buona notizia, che però non cambia un quadro generale desolante: il comparto marittimo è l'unico settore industriale in cui nel giro di quattro anni sono state colpite le Big Four. Oltre a CMA CGM Group, ricordiamo infatti APM-Maersk, bloccata dal ransomware NotPetya nel 2017, Mediterranean Shipping Company, vittima nell'aprile 2020 di un malware non ancora identificato, e COSCO nel luglio 2018.

È una situazione surreale che ovviamente è destinata a diventare un caso di studio unico, anche per la cruenza degli attacchi. COSCO è stata bloccata per settimane, anche gli altri hanno impiegato tempo a rimettersi in carreggiata. 

Stupisce che si sia dovuto arrivare a tanto per chiedersi se l'industria marittima sia sotto attacco. Ken Munro, ricercatore di sicurezza specializzato nei test di penetrazione per il settore marittimo, reputa che questo comparto non è più o meno vulnerabile di altri settori. Il problema è che "sono brutalmente esposti all'impatto del ransomware".

Probabilmente a dare avvio a questa sconvolgente escalation è stata Maersk. Non tanto perché sia stata la prima in ordine di tempo, ma perché è con questo caso che i criminali informatici si sono resi conto di quanto sia facile "affondare" un'industria di questo tipo. E che quindi ci sono molte più chance di incassare altissimi riscatti rispetto alle aziende tradizionali.

A terra più problemi che in mare

A parte questi quattro attacchi iconici, nell'ultimo anno si sono intensificati i casi in cui le navi sono state bloccate da problemi alle reti terrestri. L'industria marittima da sempre dà grande priorità agli scenari di hacking delle navi, e ha pubblicato due serie di linee guida per la sicurezza IT a bordo delle navi oceaniche. 

Il guaio, come sottolinea Munro, è che i guai maggiori iniziano a terra, dove vengono presi di mira uffici e data center. I cyber criminali mirano a colpire i sistemi che gestiscono il personale, le email, la gestione delle navi e le prenotazioni dei container. In sostanza, gli attacchi al settore marittimo non si differenziano in alcun modo da quelli a qualsiasi altro sistema IT di terra.

Significa che la grande attenzione riservata alle navi non è proporzionale a quella applicata ai sistemi di terra, che non sono adeguatamente protetti. Secondo l'esperto di sicurezza, l'industria marittima dovrebbe smettere di dare priorità a scenari meno probabili di attacchi alle navi e concentrarsi più sui suoi sistemi di terra. Almeno per il momento.