Il cybercrimine si schiera nella guerra Russia-Ucraina

Durante i primi mesi del 2022 abbiamo avuto la conferma che il ransomware resta il malware preferito dai cyber criminali. Lo racconta uno studio realizzato da Swascan – Tinexta Cyber – che ha analizzato i pattern e le attività delle gang dedite all’utilizzo di questo malware più attive all’inizio di quest’anno.

Ma il conflitto in Ucraina ha aggiunto un’ulteriore dimensione a questo scenario di Cyber Crime. Alcune delle gang, infatti, hanno preso nette posizioni politiche, schierandosi sul fonte della cyber war.

“Gli attacchi avvenuti in Ucraina e in Russia hanno evidenziato quanto sia importante la sicurezza informatica, soprattutto per i settori delle infrastrutture critiche. Ad oggi, un ransomware può crittografare 100mila file in meno di cinque minuti. È importante quindi essere preparati ed informati su questo tipo di malware”, spiega Pierguido Iezzi, CEO e Fondatore di Swascan.

Le gang più prolifiche

Nel mese di marzo 2022 Swascan ha analizzato i quindici gruppi ransomware più attivi; LockBit, Conti, BlackCat, HiveLeaks, Stormous, Against-TheWest, Blackbyte, Vice Society, Pandora, Karakurt, Suncrypt, Lapsus$, Everest, Cuba e Snatch.

Vediamone alcuni più in dettaglio.

LockBit è una cybergang russa nata nel settembre 2019. Il nome è stato poi aggiornato a LockBit 2.0 a giugno 2021. Questo gruppo di criminali usa varie tecniche, tra cui exploit zero day e utilizzo di insider. Sono autori di molti attacchi di alto profilo e sono leader per il maggior numero di vittime pubblicate sul dark web.

Conti si è fatta conoscere in questo periodo di conflitto per aver dichiarato pubblicamente di essere pro-Putin. Nel 2021 Conti era considerata la gang più pericolosa del mondo, con 180 milioni di dollari di profitto, oltre a essere erede diretta di un altro noto ransomware, Ryuk.

Stormous è una gang presumibilmente di origine iraniana, che concentra i propri attacchi verso gli Emirati Arabi Uniti. Il 12 gennaio Stormous ha iniziato a vendere prodotti per violare vittime attraverso ransomware – il servizio però è stato compromesso da un altro gruppo, Arvin Club.

Pandora è un gruppo di formazione estremamente recente, nato proprio a marzo 2022. Utilizzando la versione rinominata di Rook ransomware, il gruppo ha effettuato il primo colpo a marzo, ai danni di Denso, fornitore di ricambi per Toyota.

Everest è una gang recente, comparsa a dicembre 2020 e famosa per l’attacco alla SIAE, la Società Italiana Autori e Editori, causando un leak di dati personali relativi soprattutto a cantanti.

Le gang e il conflitto russo-ucraino

Il conflitto russo-ucraino ha evidenziato la potenziale esposizione delle infrastrutture critiche agli attacchi cyber. La guerra tra i due paesi è difatti stata descritta anche come “guerra ibrida”, proprio perché una delle armi utilizzate sono i cyberattacchi alle infrastrutture.

“Molti gruppi, essendosi schierati da una delle due parti, utilizzano i forum dark web per rilasciare informazioni sensibili sulla nazione nemica. Le gang pubblicamente pro-Russia per ora sono Conti e Stormous; per le pro-Ucraina abbiamo gli hacktivisti AgainstTheWest”, racconta Iezzi.

La gang Conti a febbraio si è schierata pubblicamente dalla parte della Russia attraverso un messaggio sul proprio data leak site; questa mossa ha causato l’ira di un ricercatore di cybersecurity ucraino che, attraverso l’account Twitter ContiLeaks, ha svelato un’enorme quantità di informazioni sulla gang, estrapolate da conversazioni tra i membri di essa.

La gang Lockbit attacca vittime di varie nazionalità, esclusa la Russia e i paesi vicini. Nonostante ciò, la gang ha negato ogni tipo di azione legata al conflitto russo-ucraino, dicendo di essere interessati solo al denaro e non ad attacchi a infrastrutture critiche.

ATW è pubblicamente schierata dalla parte dell’Ucraina, ha attaccato la Banca Centrale di Russia e il Russia Aerospace Force, compromettendone la videosorveglianza remota. Il gruppo si è diviso in due per concentrarsi meglio su attacchi a Cina e Russia.

Stormous si è schierato invece dalla parte della Russia, rivendicando attacchi alle strutture critiche ucraine.

Figura 1 Le Gang più attive a marzo 2022. Fonte: Swascan SoC Team

Le criticità del sistema ucraino

L’Ucraina ha decisamente delle lacune in campo di sicurezza informatica, giustificate dalla situazione di estrema criticità, tra mancanza di competenze, mancanza di coordinamento tra le diverse agenzie e capacità di risposta limitata.

Figura 2 Come si schierano le gang. Fonte: Swascan SoC Team

Dalla parte opposta la Russia ha risorse finanziarie e umane organizzate e capacità informatiche avanzate. Per questo, tra i vari pacchetti di aiuti, gli Stati Uniti hanno inviato esperti di cybersecurity e fondi per rafforzare le difese informatiche dell’Ucraina.

“Le gang continueranno sicuramente ad utilizzare i ransomware. Dapprima, questo tipo di attacco si basava su una singola estorsione, crittografando i dati di un’organizzazione e chiedendo un riscatto. Adesso, le gang esfiltrano i dati delle vittime in una posizione offsite ancor prima di crittografarli, minacciando un data leak in caso di mancato pagamento del riscatto”, racconta Iezzi.

Per ridurre al minimo il rischio a cui siamo esposti, è quindi necessario quindi mantenere un livello di allerta massima concentrando gli sforzi della difesa cyber sulla resistenza del perimetro, oltre che alla resilienza, continua l’esperto di Cyber.

“è imperativo un approccio che comprenda la Threat Intelligence come colonna portante e che permetta di trasformare la postura di sicurezza da una basata su Security by design & default a una che si fonda su Security by detection & Reaction”.