Modello di business all’avanguardia, guadagni folli e zero scrupoli: sono le caratteristiche dei principali gruppi di cyber criminali che stanno prendendo di mira aziende e istituzioni italiane
Dopo gli attacchi che il gruppo di hacker filo-russi Killnet ha perpetrato nei confronti dell’Italia, è diventato molto importante individuare gli attori più pericolosi nello scenario cyber per capire come agiscono e come contrastarli.
Internet può essere un luogo molto profittevole per i criminali che sanno come agire al suo interno. Infatti, grazie ai sempre più diffusi ransomware, dei malware che consentono di crittografare i dati degli utenti colpiti, questi possono rubare delle informazioni o dei file ai loro legittimi proprietari per poi restituirli dietro cauzione.
Tra i gruppi di hacker che hanno guadagnato notorietà in questo settore ci sono Conti e Lockbit, che si sono arricchiti grazie a un modello di business innovativo chiamato Ransomware-as-a-Service. Questo modello implica che l’azienda diffonda il suo ransomware, bloccando o rubando i dati di utenti e aziende, per poi chiedere un riscatto per sbloccarli.
Costituiti come vere e proprie aziende, questi due gruppi assumono personale attraverso regolari colloqui e operano colpendo siti di grandi aziende per poi pubblicare i loro dati riservati qualora queste non paghino l’importo richiesto.
Non è facile reperire informazioni su questi gruppi, in quanto preferiscono ovviamente operare nell’ombra. Fortunatamente, grazie ad alcuni loro data breach è stato possibile conoscere qualcosa in più su queste realtà.
Chi è Conti, come lavora, quanto guadagna
Conti, ad esempio, è un gruppo di cybercriminali situato in Russia, diventato conosciuto per aver creato il ransomware Ryuk. Al suo interno conta circa 100 dipendenti con stipendi dai 5.000 ai 10.000 dollari mensili e nel 2021 ha avuto introiti per circa 18 milioni di dollari.
Non si conosce quasi niente sulle figure che lavorano all’interno del gruppo, l’unica eccezione è rappresentata da Stern, chief executive officer dell’azienda e Mango, che secondo le informazioni disponibili sembra essere il direttore generale.
Le figure professionali impiegate al suo interno sono piuttosto variegate: è possibile trovare programmatori, esperti di reverse engineering, penetration testers e addirittura un help desk, riservato ai clienti, ossia alle vittime del ransomware, che decidono contrattare ed eventualmente pagare il riscatto richiesto.
L’azienda svolge anche un’attività di intelligence nei confronti dei propri “clienti”, andando a ricercare i loro possedimenti. Se, ad esempio, in fase di contrattazione, i criminali scoprono che un individuo possiede un’assicurazione contro gli attacchi cyber, questi tendono a non accettare offerte al ribasso, essendo consapevoli l’assicurazione pagherà per l’azienda o l’individuo.
Chi è Lockbit, come lavora, quanto guadagna
Lockbit è un gruppo di cyber criminali che opera diffondendo il proprio ransomware semi automatico: Lockbit 2.0. Il gruppo presenta al suo interno un vero e proprio programma di affiliazione, lanciato nel settembre 2019. Il modello di business dell’azienda si basa sull’ottenere introiti grazie ai partner, i quali hanno l’obiettivo di diffondere il ransomware e ottenere il riscatto.
Ricevere un’offerta di affiliazione non è affatto semplice, infatti, Lockbit specifica che solamente gli hacker esperti, che devono trovarsi fuori dall’ex Confederazione degli Stati Indipendenti (CSI) e dall’ex Unione Sovietica, possono entrare a far parte del gruppo in qualità di partner, dato che questi si trovano poi a maneggiare file e informazioni di grande valore.
Coloro a cui è concesso entrare a far parte del gruppo sono liberi di stabilire il riscatto da chiedere alle vittime. Per quanto riguarda il pagamento, i partner vengono lasciati liberi di scegliere il metodo di pagamento (che spesso comunque avviene in criptovalute, dato che non sono tracciabili) e sono poi tenuti a pagare una percentuale del 20% all’organizzazione.
Un caso divenuto molto importante è stato quello di Accenture, colpita da Lockbit nel corso di agosto 2021. Dopo aver sottratto i dati dell’azienda, i criminali hanno chiesto un cospicuo riscatto e, dopo essersi visti rifiutare la proposta, hanno pubblicato i dati.
Industria ransomware, la fabbrica degli attacchi
In generale, è possibile affermare che lo scenario geopolitico ha favorito la nascita di nuove organizzazione e di conseguenza la frequenza degli attacchi ransomware.
Secondo Swascan, azienda italiana operante nell’ambito della sicurezza informatica, in soli tre mesi dall’inizio 2022, si sono registrati globalmente più di 300 attacchi in circa 60 Paesi diversi.
Il comportamento di molte organizzazioni è spesso anche connotato da una forte valenza geopolitica, che spinge gli attori a battersi per una causa.
È questo il caso di Killnet, organizzazione filo-russa che si sta scontrando con l’Italia a causa dell’appoggio del governo all’Ucraina; di AgainstTheWest, gruppo di hacker filo-taiwanese pro-Ucraina che nel corso del 2021 ha attaccato numerose volte le organizzazioni cinesi in segno di protesta e più di recente quelle russe; di Stormous, organizzazione presumibilmente di origine iraniana che è salita agli onori della cronaca per aver attaccato alcune aziende degli Emirati Arabi; o di BlackByte, organizzazione criminale che è divenuta conosciuta principalmente per i suoi attacchi contro Europa e Stati Uniti.
È evidente che dunque le motivazioni che spingono questi gruppi ad agire non siano solamente economiche ma talvolta anche ideologiche. Ciò è stato dimostrato anche dalle numerose organizzazioni di hacker che si sono mobilitate in seguito allo scoppio del conflitto tra Russia e Ucraina, prendendo le parti dell’una o dell’altra.
Alcuni gruppi, in controtendenza, hanno invece affermato di non essere interessati a prendere posizioni politiche e di essere interessati solamente ai loro guadagni. È questo il caso di Lockbit che attraverso una nota apparsa sul proprio sito sul dark web ha affermato che data l’eterogeneità del gruppo in termini di provenienza dei componenti, non hanno alcun interesse a perseguire alcuna causa specifica.
© RIPRODUZIONE RISERVATA