Dio, Patria e Famiglia: la gang del ransomware Conti si è schierata apertamente con la Russia di Putin. EvilCorp potrebbe schierarsi dalla parte dell’Ucraina, suo paese originario. Altri gruppi si sono palesati in questi giorni come appartenenti all’uno e all’altro campo confermando quello che era già emerso: questi gruppi agiscono da porzioni di territorio specifiche, hanno una lingua comune, godono del sostegno o dell’omertà delle istituzioni del proprio paese e in aggiunta hanno una cultura specifica e una variegata ideologia.
Questo è l’avviso che compare oggi nella homepage sulla darknet Tor del gruppo Conti:
“In risposta ai guerrafondai occidentali e alle minacce americane di utilizzare la guerra informatica contro i cittadini della Federazione Russa, il Conti Team annuncia ufficialmente che utilizzeremo la nostra piena capacità per fornire misure di ritorsione nel caso in cui i guerrafondai occidentali tentino di prendere di mira infrastrutture critiche in Russia o qualsiasi regione del mondo di lingua russa. Non ci alleiamo con nessun governo e condanniamo la guerra in corso. Tuttavia, poiché è noto che l’Occidente conduce le sue guerre principalmente prendendo di mira i civili, utilizzeremo le nostre risorse per contrattaccare se il benessere e la sicurezza dei cittadini pacifici saranno in gioco a causa dell’aggressione informatica americana”.
Esposti dati riservati di Conti, gruppo ransomware pro-Russia
Indice degli argomenti
Le gang del ransomware non fanno solo affari
Nel passato recente le gang del ransomware hanno creato molti danni e ottenuto riscatti milionari. Hanno messo in pericolo infrastrutture come quella di Erg ed Enel, e di gestori locali di dighe idroelettriche, attaccato organizzazioni politiche e amministrative, bloccato la produzione manifatturiera di Carraro, Geox, Campari, Luxottica in Italia, e prodotto danni reputazionali ed economici a livello globale con gli attacchi di LockBit ad Accenture e Thales Group.
Nella maggior parte dei casi però si tratta di obbiettivi occidentali. Quando sono stati interpellati per spiegare le loro motivazioni hanno sempre detto che “attacchiamo chi può pagare” “anche noi abbiamo una famiglia da mantenere”, ma non sempre è stato così: coi loro attacchi hanno fatto fallire piccole e medie aziende impossibilitate a pagare o incapaci di gestire una trattativa per farlo. In tutto il mondo hanno infatti attacco studi di avvocati, di notai e perfino le loro organizzazioni di riferimento come il Consiglio Nazionale Forense.
Da noi interpellato, il portavoce di una di queste gang, Everest, che in Italia ha colpito la Siae senza pare cifrarne i dati, ha dichiarato che “la colpa delle estorsioni è di chi non si protegge abbastanza”.
La gang del ransomware hanno anche dichiarato che non avrebbero attaccato strutture sanitarie durante la pandemia e sappiamo che non è stato così nel caso dell’attacco ransomware che ha bloccato il programma di prenotazione vaccinale della regione Lazio in Italia nel 2021 durante la pandemia da Sars-Covid19 con la collaborazione tra LockBit2.0 e Ransomeex.
Gang che funzionano come startup e business legittimi
Le gang del ransomware è noto, usano come strumento di ricatto potenti software in grado di cifrare e rendere indisponibili ai legittimi proprietari i loro dati e perfino l’accesso ai sistemi informatici che li processano. Sotto forma di Cryptolocker o blocker il software e le procedure su cui fondano il loro business però prevede prima l’intrusione nei sistemi bersaglio, la copia dei dati, e infine la cifratura. Una volta realizzate queste tre azioni chiedono il riscatto. E in genere lo ottengono perché le realtà che diventano loro vittime spesso ritengono meno costoso pagarlo che negarglielo.
Secondo Idc, azienda leader nelle ricerche di mercato, più di un terzo di tutte le organizzazioni a livello globale avrebbe sperimentato un attacco ransomware negli ultimi 12 mesi. Si tratta di gruppi criminali dai nomi fantasiosi che spesso sono indicate col nome del malware da loro sviluppato come i già citati Conti, RansomExx, LockBit, e poi DarkSide, Cuba, BlackHat e molti altri.
Molti nomi sono spariti in seguito a indagini, catture o sequestri e ne sono apparsi altri. Recentemente sono scomparsi Avaddon, DarkSide, Noname, Prometeo, REvil, alias Sodinokibi e BlackMatter. Ma nel terzo trimestre 2021 sono apparsi Alphum, Grief, Hive, Karma, Thanos e Vice Society. Molti sembrano rebrand di precedenti gruppi.
Queste cyber-gang lavorano infatti come aziende legittime, e hanno una logica da startup, si dividono e creano nuovi business e nuovi brand. Comunicano via blog nel DarkWeb, ma fanno offerte sul Clearnet, ad esempio sul famigerato RaidForums, e poi impiegano programmatori a tempo, consulenti, portavoce. In alcuni casi hanno un “customer care” che contatta le vittime sfruttando la psicologia umana per trattare il riscatto e ottenerlo il prima possibile.
Doppia, tripla, quadrupla estorsione: come operano le gang del ransomware
Al principio c’era l’estorsione semplice. I cybercriminali trovavano un buco nelle difese informatiche delle vittime, ne cifravano i dati e poi chiedevano un riscatto, poi, se la vittima non riconosceva il danno e si rifiutava di pagare, puntuale arrivava la minaccia di pubblicare i dati raccolti nell’intrusione per arrecargli un danno d’immagine: era nata la double-extortion. Ma se la vittima continuava a rifiutare di trattare il pagamento di un riscatto, la gang colpiva il sito web del bersaglio con un attacco DDoS, cioè Distributed Denial of Service attack, puntando a saturare gli accessi ai servizi web facendoli collassare per le troppe richieste simultanee: era la cosiddetta tripla estorsione. Infine i criminali hanno ideato un quarto livello di aggressione cominciando a inviare mail a tutti i contatti delle aziende colpite, annunciando l’imminente pubblicazione dei loro dati online in seguito al rifiuto della vittima di collaborare, invitandoli a contattarli per comprare i dati ed evitarne la diffusione.
Quinto livello di aggressione
Hanno infine ideato un quinto livello di aggressione: se le vittime: se non pagano il riscatto e non cedono alla minaccia di fare brutta figura coi media e coi loro clienti, quando sono attrezzate a rispondere agli attacchi DDoS, i gruppi ransomware pubblicano i dati del bersaglio, dei loro clienti e della filiera di approvvigionamento, la supply chain, su un sito nuovo e creato allo scopo, col nome ufficiale e un differente suffisso.
Payload.bin, per esempio, si è specializzato per creare siti di shaming per invogliare le vittime a pagare facendole vergognare per l’intrusione subita, usando come dominio pubblico per il ricatto un indirizzo uguale a quello della vittima sostituendolo col suffisso .rip, originariamente accettato dall’Icann per celebrare i propri defunti. R.I.P. significa Rest in Peace e viene dal latino Requiescant in Pacem.
L’evoluzione più alta del software che poi dà il nome alla gang criminale è forse LockBit 2.0 che funziona con una supervisione umana minima e offerto agli affiliati secondo la logica del Ransomware as a Service: come se fosse un qualsiasi utensileria da comprare dal ferramenta. Affittato o venduto ad altri gruppi i suoi sviluppatori ricevono in cambio una parte dei pagamenti ricevuti come riscatto.
I pagamenti ricevuti in cryptovalute dagli affiliati e dagli sviluppatori vengono “miscelati” con l’uso di Coinjoin, un protocollo informatico per valute virtuali che consente agli utenti di alzare i livelli di privacy e anonimato, proteggendo identità e transazioni tanto da far dire agli analisti che “senza le cryptovalute non funzionerebbero”.
Il loro potenziale di ricatto è molto alto. Con l’acuirsi delle tensioni geopolitiche, delle sanzioni verso gli stati in guerra come la Russia, potrebbero trasformarsi in un “contingente avanzato” con scopi politici e militari, ne hanno i mezzi.
