Cybercrime Spa: come funziona l'industria del malware
Quella del malware e degli attacchi hacker è ormai una industria a tutti gli effetti, con gruppi organizzati, veterani di grande fama e broker finanziari che fanno circolare il denaro.
Che i virus informatici siano ormai una minaccia consistente e persistente per le aziende è cosa che sanno ormai un po’ tutti: i cybercriminali hanno messo a segno recentemente colpi talmente grandi e di impatto mediatico che è oggi impossibile non sapere che abbiamo un problema di sicurezza elettronica da affrontare.
Attacchi come quelli dell’Egregor Team contro la catena sudamericana di supermercati Cencosud e contro la metropolitana di Vancouver. Attacchi come quelli ai danni di SolarWinds, che ha causato una gigantesca fuga di dati dai centri del potere americano. Attacchi come quelli sempre più frequenti agli ospedali e ad altre strutture sanitarie. Furti di dati clamorosi come quelli subiti in Italia da Leonardo Spa e Ho Mobile. Per non parlare dei tanti malware che possono svuotare il conto anche alla gente comune, come Alien o Emotet. Con una parte sempre più grande della nostra economia che si sposta online, quindi, oggi nessuno è più sicuro al 100%, né i piccoli né i grandi. Anche perché, mentre il mondo cerca di capire cosa sta succedendo, il cybercrimine inizia a darsi una organizzazione ben precisa.
Cybercrime Spa: il caso Egregor
L’esempio più significativo, emblematico e istruttivo di organizzazione criminale informatica è l’Egregor Team, cioè il team di hacker che sviluppa e “affitta” il ransomware Egregor (i ransomware sono i virus che copiano e criptano i dati dei computer infetti, per poi chiedere un riscatto alle vittime).
E’ ormai dato per assodato che buona parte dei membri di questo team siano ex appartenenti ad un altro gruppo, Maze, scioltosi ufficialmente a novembre 2020 per dissidi interni. Pochissime settimane dopo sono iniziati gli attacchi di Egregor, che hanno causato danni per decine di milioni di dollari.
L’Egregor Team è nato per sviluppare Egregor, un “Ransomware as a Service” (cioè un virus in affitto) in collaborazione con altri soggetti criminali, che svolgono altri ruoli all’interno della catena del ricatto che porta, a volte, al pagamento del riscatto. A quanto risulta all’FBI americano gli incassi vengono poi divisi con una percentuale 70/30.
Secondo le società di sicurezza elettronica, in pochissimi mesi, le aziende vittime di Egregor sarebbero già almeno 130.
Cybercrime Spa: il caso Ryuk
Ryuk è un altro ransomware (per la precisione una famiglia di ransomware, con diverse varianti), non meno pericoloso di Egregor. AdvIntel e Hyas, due società che si occupano di cybersicurezza, sono riuscite a scovare 61 portafogli Bitcoin dentro i quali sarebbero nascosti i proventi delle estorsioni del gruppo che gestisce questi ransomware. Contengono 150 milioni di dollari.
Secondo le due aziende “Ryuk riceve una quantità significativa dei pagamenti di riscatto da un noto broker, che effettua pagamenti per conto delle vittime del ransomware“. Ci sarebbe, quindi, una rete di professionisti della finanza che collaborano con gli hacker prendendo una percentuale.
Una mafia fluida
Sembrerebbe, quindi, che ci siano delle vere e proprie organizzazioni criminali internazionali dietro i più recenti attacchi informatici. Ma si tratterebbe di organizzazioni non strutturate, di “mafie fluide” formate da hacker veterani con anni di carriera criminale alle spalle, molto rispettati nell’ambiente.
Alcuni di questi “uomini d’onore dei bit” li conosciamo pure, come l’hacker russo Evgeniy Mikhailovich Bogachev, “most wanted” dell’FBI che per anni ha sparso in giro per il mondo tramite una botnet il suo malware “Zeus” (che si calcola abbia già causato non meno di 100 milioni di dollari di danni).
Malware as a Service
Quello che accomuna tutti questi gruppi e soggetti criminali è il modus operandi, che è anche il “business model“: i virus non si vendono, si affittano. Chi li sviluppa si appoggia su altri gruppi per farli circolare (ad esempio organizzando campagne di phishing mirate), mentre altri ancora si occupano di riscuotere e far circolare il denaro delle estorsioni.
I “clienti” di questi gruppi non hanno più bisogno di competenze informatiche: possono semplicemente affittare la piattaforma, il pacchetto completo di servizi che gli servono per colpire una azienda concorrente, uno Stato nazionale o, semplicemente, per far soldi da dividere alla fine con tutti coloro che hanno partecipato all’impresa criminale. E questo rende il lavoro degli investigatori ben più difficile.
