Tornano i ransomware ed i criminal hacker professionisti

Non sono passati che pochi giorni dall’ultima serie di attacchi ransomware contro organizzazioni e infrastrutture europee, attacchi che hanno interessato purtroppo anche l’Italia.

Questa offensiva digitale, inserita nell’ampio contesto di scontro ideologico e politico tra est ed ovest, potrebbe adesso significare la riapertura della stagione degli attacchi hacker indiscriminati.

Fino a questo punto, il rischio – come era stato ipotizzato nelle prime settimane del conflitto in corso in Ucraina – che un attacco contro delle infrastrutture critiche di uno dei Paesi al momento opposti potesse essere considerato un casus belli era molto concreto e – per alcuni giorni – si era osservata una certa titubanza da parte dei Criminal Hacker su questo fronte.

Il “colpo” sferrato negli ultimi giorni, adesso, dimostra come una volta superato l'impasse (e magari gli stessi dubbi che anche personaggi di dubbia moralità come i Criminal Hacker potessero avere) delle prime settimane di scontro tra Kiev e Mosca, la stagione degli attacchi ransomware sia tornata con rinnovata aggressività.

Fattori convergenti e un precedente “illustre”

Non dobbiamo neppure stupirci più di tanto, le motivazioni per questa ripresa, d’altronde, sono ancora più forti di quanto non siano mai state in precedenza.

Le sanzioni comminate alla Russia sono sicuramente il primo indiziato. Stagnazione o addirittura recessione economica sono dall’alba dei tempi il terreno fertile in cui crescono le attività illegali.

E sicuramente le prospettive economiche di Mosca sono tutt’altro che rosee al momento. Benzina sul fuoco per un’escalation di attacchi – soprattutto Ransomware, in quanto questi sono ad oggi, per distacco, i più lucrativi.

D’altronde, quella di utilizzare attività illegali per foraggiare uno stato ostracizzato non è una novità.

Storicamente, erano i guerriglieri a dipendere dal banditismo e dalle rapine per sopravvivere, oggi, grazie al Cyber crime, interi stati possono in qualche modo sopperire a problemi economici e sanzioni tramite questi mezzi.

Pensiamo al caso della Korea del Nord

Mentre i recenti test missilistici di Kim Jong Un sono passati in sordina, silenziati dal rumore del conflitto, le unità operative cyber di Pyongyang lavorano nell'ombra.

Pyongyang, a causa della pandemia di COVID-19, ha per lungo tempo sigillato i propri confini, la sua unica fonte di commercio e l’unico paese amico - la Cina – aveva ugualmente rallentato drasticamente i suoi scambi. Il Paese più isolato del globo si era trovato ancora più solo.

Tuttavia, in soccorso, sono arrivati gli hacker nordcoreani. Questi hanno lavorato diligentemente nel tentativo di sostenere le casse esaurite dell'élite del partito.

Tra il 2011 e il 2020, i criminali informatici della Corea del Nord hanno rubato più di 1 miliardo di dollari di criptovalute. Nel solo 2021, gli hacker nordcoreani avrebbero rubato quasi 400 milioni di dollari in Bitcoin. L'investimento del regime nelle sue operazioni informatiche sta probabilmente fornendo un cuscinetto economico vitale per la leadership isolata e paranoica capitanata da Kim Jong Un. Secondo un rapporto non classificato del 2021 dell'Office of the Director of National Intelligence (ODNI) degli Stati Uniti, il crimine informatico della Corea del Nord probabilmente finanzia "le priorità del governo, come i suoi programmi nucleari e missilistici".

Questo ovviamente è il caso assolutamente limite di un Paese totalitario e pressoché pre-industrializzato, dove già la corrente elettrica non è una sicurezza.

La Russia, però, è da tempo vista come la patria della gang di Ransomware, con decine dei maggiori gruppi dediti a questa attività che in qualche modo sono direttamente collegati a Mosca.

E non dobbiamo sottovalutare il giro d’affari che questi criminali sono in grado di generare. Swascan stessa, analizzando l’operato della gang CONTI ha potuto constatare come questo gruppo da solo sia stato in grado di generare oltre 2 miliardi di profitti in bitcoin in un periodo di tempo inferiore a 4 anni.

Un fatturato che teoricamente li metterebbe nella top 20 delle aziende più grandi della Russia.

Se Mosca decidesse di chiudere “entrambi gli occhi” davanti alle attività dei gruppi che operano all’interno dei suoi confini, potrebbe assicurarsi una serie di introiti fondamentali a fronte di un periodo economico caratterizzato da sanzioni e disinvestimento da parte delle multinazionali.

Non è solo profitto

Ovviamente non è solo il profitto puro derivante dal pagamento dei riscatti a interessare. Il Ransomware, per sua natura, cattura e tiene in ostaggio i dati dei network colpiti. Questo da visibilità ai “rapitori” di tutto ciò che transita all’interno della società o organizzazione bersaglio.

I dati, quindi, possono rapidamente diventare un sottoprodotto lucrativo di questa attività criminale (visto che spesso e volentieri vengono rivenduti all’intero del Dark Web). E soprattutto con l’arrivo di RUNET (e quindi la disconnessione della Russia dalla rete globale) l’attività di Data gathering effettuata dai Criminal Hacker potrebbe essere ancora più interessante per il Cremlino.

Questo non significa che termineranno le altre operazioni di Cyber espionage, anzi, solo pochi giorni fa, un gruppo di Criminal Hacker apparentemente filo-russi ha tentato di infiltrarsi nelle reti della Nato e dei ministeri della difesa di diversi paesi dell’Europa orientale.

L’analisi, pubblicata dal Threat Analysis Group (Tag) di Google, non ha indicato quali forze armate siano state prese di mira in quelle che Google ha descritto come “campagne di phishing mirate delle credenziali”.

“Il TAG ha osservato un numero sempre crescente di attori che utilizzano la guerra come esca nelle campagne di phishing e malware. Gli attori sostenuti dal governo di Cina, Iran, Corea del Nord e Russia, così come vari gruppi non accreditati, hanno usato vari temi legati alla guerra in Ucraina nel tentativo di ottenere obiettivi per aprire e-mail dannose o cliccare su link dannosi”, si legge nel documento.

Insomma, una serie di fattori convergenti sembrano essersi allineati per fomentare una nuova epidemia di Cyber Crime. Comunque si voglia definire la situazione in Ucraina sembra proprio che la nuova linea che si stia prefigurando a est sia quella di Inter arma enim silent leges (Tacciono infatti le leggi in mezzo alle armi), in particolare per il Cyber Crime. Naturalmente questo è uno scenario speculativo, come molto di quanto sta accadendo in questi mesi, i colpi di scena sono dietro l’angolo.

Abbiamo oramai imparato che le informazioni non sono necessariamente intelligence e che i dati non permettono necessariamente una conclusione, ma sarebbe sciocco sottovalutare gli indizi che abbiamo di fronte.

Ipotesi o meno, la situazione impone un rinnovato livello di attenzione. D’altronde, nonostante le ultime evoluzioni dettate dal conflitto, resta presente e costante anche il rischio legato a zero-day e supply chain digitali, lo insegna il caso Kaseya e poco prima Solar Winds. Due attacchi devastanti avvenuti silenziosamente e che hanno richiesto mesi d’infiltrazione da parte degli attaccanti.