Il gruppo di hacker di lingua russa conosciuto come Clop è specializzato in attacchi ransomware. Il gruppo gestisce un sito web accessibile solo attraverso il dark web, utilizzando il software di anonimato Tor. Clop ha attirato l’attenzione internazionale per la sua tattica di negoziazione aperta con le vittime, invitandole a trattare il riscatto come un accordo commerciale legittimo.
La crescente tensione tra Russia e Ucraina fornisce uno sfondo complesso per le attività dei gruppi di hacking. Gli attacchi informatici potrebbero essere usati come parte di una strategia più ampia per minacciare o destabilizzare il nemico, sia a livello economico che politico. La complessità della situazione geopolitica può influenzare la direzione e l’intensità delle attività dei criminali informatici.
Indice degli argomenti
Lo scenario dei gruppi criminali che collaborano con Mosca
Recentemente Clop è al centro di grandi dibattiti sulla sicurezza informatica per aver scoperto e sfruttato con successo, una importante vulnerabilità sul software MOVEit, attaccando così un grande numero di società in tutto il mondo. C’è una vittima anche italiana di questa campagna malevola di Clop degli ultimi mesi, è l’azienda Safilo Group.
“Lo scenario che ci troviamo dinanzi vede gruppi di criminali informatici collaborare con il governo di Mosca”, riferisce a CyberSecurity360 Pierluigi Paganini, esperto di sicurezza informatica e CEO di Cybhorus. “La presenza di non state actors è un elemento caratterizzante dell’attuale conflitto. La sinergia tra attori finanziariamente motivati e gruppi nation state è estremamente pericolosa”, prosegue Paganini.
La pagina web di Clop fornisce dettagli su come le vittime possono negoziare un riscatto per ripristinare i propri dati. Il gruppo promette di fornire campioni di file crittografati come prova della loro capacità, e minaccia di pubblicare i dati rubati in caso di mancato pagamento entro una data stabilita. Questo approccio ha portato alcune aziende a pagare i riscatti, nonostante gli avvertimenti dei governi.
MOVEit Transfer nel mirino di cyber attacchi: scoperta nuova falla zero-day
Il gruppo Clop opera principalmente in Russia e Ucraina ed è stato collegato a un aumento degli attacchi ransomware dall’interno della Russia, in particolare dopo l’invasione russa dell’Ucraina.
Gli attacchi ransomware sono aumentati durante la pandemia, quando molte aziende hanno esternalizzato i loro dati e le loro reti nel cloud, creando ulteriori superfici di attacco. La relazione tra il crimine informatico russo e gli interessi della sicurezza nazionale russa è complessa e sfumata.
In passato, riporta il Financial Times, il gruppo CarderPlanet ha giocato un ruolo importante nel commercio criminale di dati di carte di credito rubate o clonate.
La conferenza First Worldwide Carders Conference è stata organizzata da questo gruppo nel 2002, coinvolgendo criminali informatici da tutto il mondo. Questo evento è stato un segno delle relazioni tra Russia e Ucraina all’epoca, e di come i confini tra i due paesi fossero labili.
Alcuni gruppi criminali informatici russi potrebbero essere influenzati o persino coinvolti dalle autorità russe. Questo livello di coinvolgimento statuale può rendere più difficile attribuire gli attacchi direttamente allo stato o a gruppi criminali, creando una sfumatura tra criminalità informatica indipendente e operazioni di intelligence statuale.
I ruoli dell’Intelligence russa
La strategia degli Stati Uniti per affrontare le minacce informatiche russe ha coinvolto discussioni con la Russia e la messa in guardia contro attacchi a determinati settori industriali. Tuttavia, alcuni gruppi criminali di lingua russa sono tornati attivi, specialmente dopo la crescente tensione tra Russia e Ucraina. La Russia sembra sostenere indirettamente queste attività, mantenendo una distinzione tra i bersagli russi e non russi.
“L’intelligence Russa da sempre ha intrecciato relazioni con gruppi dediti al crimine informatico e che operavano in est Europa”, riprende Paganini.
“Pur mantenendo la motivazione finanziaria, gruppi criminali possono esser coordinati nelle operazioni dal governo di Mosca. L’intento è quello di causare danno ad organizzazioni ed imprese occidentali, al tempo stesso questi attacchi possono avere una funzione diversiva in una strategia di più ampio respiro”.
Le attività dei gruppi di hacking, come Clop, sono legate agli interessi di sicurezza nazionale russa. Mentre questi gruppi cercano profitto attraverso estorsioni e attacchi ransomware, sembrano anche sostenere implicitamente gli obiettivi russi. Questo solleva la domanda se alcuni di questi attacchi possano essere perpetrati con il tacito consenso o il supporto indiretto delle autorità russe, il che potrebbe essere un modo per raggiungere obiettivi di sicurezza nazionale senza un coinvolgimento diretto dello stato.
“L’intelligence russa in questa fase potrebbe agevolare gli attacchi di organizzazioni criminali fungendo da access broker, ovvero passando informazioni utili a compromettere le reti di aziende che sono obiettivo di Mosca”, aggiunge sempre Paganini che conclude “fino a dove si spingeranno i gruppi criminali consapevoli che un attacco ad aziende che operano nel settore delle infrastrutture critiche potrebbero innescare una risposta aggressiva da parte del governo USA e dell EU?”.
