Il ransomware all'ombra del Cremlino

Ransomware è una delle keyword del 2021; non c’è dubbio. Il caso Colonial Pipeline ha aperto una finestra per il mondo intero da cui dare uno sguardo su quella che è la realtà del tipo di cyber attacco più pericoloso e devastante in circolazione al momento e le sue conseguenze “reali”.

Questo ingresso nel mainstream del ransomware ha ovviamente generato domande e perplessità su questo fenomeno: dalle sue origini al suo impiego.

In particolare, potrebbe essere sorta la domanda sul perché questi attacchi provengano per la quasi totalità dall’area dell’ex Unione Sovietica.

Gli spettri del crollo dell’URSS

Le ragioni di questa situazione risalgono – non dovrebbe sorprendere - al crollo dell'Unione Sovietica negli anni novanta, quando un’intera generazione di ingegneri, programmatori e tecnici altamente competenti furono improvvisamente lasciati alla deriva dal collasso totale del sistema.

In una situazione di difficoltà drammatiche ed incredibile contrazione economica, una parte di queste si diede al Cyber Crime.

Decenni dopo, la storia non è cambiata molto. La complessa situazione socio economica della Russia – comunque contrassegnata di forte immobilità sociale e ristagno - produce uno scenario in cui giovani generazioni di russi hanno accesso a studi specializzati in fisica, informatica e matematica, ma hanno pochi sbocchi per realizzare questi talenti.

Abbiamo quindi schiere di personale altamente qualificato senza troppi sbocchi lavorativi e soprattutto con prospettive di guadagno in patria estremamente limitate, se raffrontate a quanto può essere ottenuto in occidente a parità di mansione.

Laissez-faire o strategia?

Di fronte a questo scoglio, naturalmente, moltissimi scelgono l’estero, ma una certa percentuale di queste persone decide che vale la pena di infrangere la legge.

Uno scenario abbastanza distopico, ma favorito da una serie di fattori legati sia ad aspetti puramente legislativi sia di interesse geopolitico.

Infatti, anche se le forze dell'ordine russe montano periodicamente operazioni mirate a stroncare organizzazioni di criminali informatici che operano nei confini nazionali, generalmente chiudono un occhio su coloro che usano la Russia come base per colpire bersagli stranieri.

Questo è in parte una funzione della particolare giurisdizione russa. Detto semplicemente, se non c'è una vittima sul territorio russo che può presentarsi di persona per presentare fisicamente una denuncia e offrire prove per un processo penale, allora non c'è molto da perseguire per le autorità.

Ovviamente questo non è un lasciapassare totale per i Criminal Hacker. Quindi, per assicurarsi di non incorrere in problemi sul loro territorio, la maggior parte delle gang responsabili degli attacchi ransomware proibiscono di prendere di mira aziende o istituzioni in Russia o nel territorio dell'ex Unione Sovietica.

Generalmente esiste una regola d’oro per i Criminal hacker dell’ex area sovietica: non “lavorare” sul dominio .ru.

Infatti, la maggior parte dei ransomware come DarkSide, responsabile di Colonial Pipeline, hanno una parte del codice malware programmato per analizzare le lingue installate sulla macchina bersaglio; nel caso in cui venisse rilevato il russo o un'altra lingua comune ai paesi post-sovietici, questo si sarebbe cancellato automaticamente dal sistema senza propagarsi.

Ma c'è anche un'altra ragione molto importante per cui i criminali informatici possono sentirsi relativamente liberi di operare dall'interno della Russia.

I servizi segreti del Cremlino sono inclini a vedere i Criminal Hacker che prendono di mira le aziende occidentali, i governi e gli individui meno come una minaccia e più come una possibile risorsa.

Nel 2014, l'FBI ha incriminato un Criminal hacker russo di nome Evgeniy Bogachev con l'accusa di aver rubato centinaia di milioni di dollari da conti bancari in tutto il mondo; i procuratori americani hanno chiesto alle loro controparti russe di collaborare per confermarne l’arresto.

Tuttavia, piuttosto che arrestare Bogachev, le autorità russe hanno usato i suoi database di dati rubati per recuperare file ed e-mail d’interesse appartenenti a dipendenti governativi negli Stati Uniti, Georgia e Turchia.

Il Cremlino stava, di fatto, innestando un'operazione di intelligence all’interno di un crimine informatico di vasta portata; di fatto risparmiandosi il duro lavoro di hacking nei computer stessi.

Con precedenti simili, non deve sorprendere che le accuse di coinvolgimento russo nelle grandi operazioni di Criminal hacking siano, a questo punto, diventate un luogo comune.

Una relazione complessa

Una situazione così grigia, comunque rende difficili attribuzioni o l’identificazione di gruppi direttamente sotto l’egida del governo federale russo e soprattutto come distinguerli da quelli di “semplici” criminali che Mosca sceglie d’ignorare.

Ad aggiungere alle complessità, gruppi di Criminal Hacker principalmente dediti al profitto possono a volte servire gli interessi del governo e allo stesso modo i gruppi di cyber spionaggio – dette APT – direttamente sotto il controllo delle varie agenzie d’intelligence hanno lanciato attacchi ransomware con il semplice scopo di trarne vantaggi economici.

Come se non bastasse, anche le relazioni tra i vari APT rimangono poco chiare. Le unità del servizio di intelligence militare GRU, il servizio civile di intelligence estera SVR e il servizio di intelligence interna FSB conducono varie operazioni di cyberspionaggio tramite APT differenti.

Cambia il vento?

Certo, nonostante Mosca sia stata disposta a chiudere un occhio sulle attività dei vari gruppi che operano all’interno del suo territorio, l’attenzione mediatica suscitata da Colonial Pipeline ha reso necessario un minimo inasprimento delle posizioni ufficiali nei confronti dei Criminal Hacker e anche se il portavoce di Putin ha al tempo negato ogni legame con l’attacco, Darkside, come organizzazione criminale, è rapidamente sparita poco le proteste di Washington.

D’altronde pochi mesi fa, Biden aveva sanzionato la Russia anche per l’attacco SolarWinds, in cui si ipotizzava che almeno nove diverse agenzie federali e un centinaio di aziende private hanno avuto le loro reti compromesse dai servizi segreti russi.

Ma realisticamente nessuno si aspetta che la pratica del ransomware sparisca. D’altronde il più grande pericolo del mercato del ransomware è quanto funziona bene, almeno per ora.

DarkSide ha ottenuto quasi cinque milioni di dollari di riscatto da Colonial Pipeline, un bel bottino per i Criminal Hacker, ma briciole per la compagnia petrolifera - che guadagna più di un miliardo di dollari all’anno – rispetto a quanto sarebbe costato un blocco prolungato.

Per combattere il ransomware, a queste condizioni, forse allora non è più sufficiente una forte politica di cyber resilienza sia per privati sia per le nazioni – sempre imprescindibile comunque – ma è necessaria anche una presa di posizione più forte da parte degli attori che si trovano regolarmente colpiti da questi attacchi (l’Italia si piazza quinta in questa classifica, come ha rivelato un’analisi condotta da Swascan a maggio 2021).

Si sta configurando uno scenario dove il Cyber Crime è diventato pedina sullo scacchiere internazionale, a queste condizioni sicuramente non possiamo permetterci di abbassare la guardia!

info: www.swascan.com/