L’ecosistema cyber criminale russo sta attraversando una trasformazione profonda. Una ricalibratura delle priorità repressive interne e i legami, diretti o indiretti, con apparati statali ha reso più selettivo e gestito quello che per anni è stato percepito come un “safe haven” uniforme.
La novità non è l’esistenza di rapporti tra criminalità informatica e Stato, ma la loro gestione: enforcement mirato su nodi ritenuti sacrificabili (soprattutto monetizzazione e infrastrutture) e, in taluni casi, protezione per gli operatori con presunta utilità informativa o geopolitica.
Indice degli argomenti
Il quadro
In questo contesto, il mercato sotterraneo si riorganizza: si irrigidisce il reclutamento nei programmi RaaS (Ransomware as a Service), aumentano paranoia e frammentazione e si rafforzano canali e procedure di sicurezza più chiusi e selettivi.
Parallelamente, le politiche occidentali si stanno orientando verso divieti di pagamento, reporting obbligatorio e azioni proattive, con effetti concreti su fiducia, liquidità e modelli operativi del crimine informatico.
L’asse interpretativo utile è quello del Dark covenant, un patto implicito che, in tre dimensioni (legami diretti, affiliazioni indirette e tolleranza tacita), regola la coesistenza fra attori criminali e segmenti dello Stato.
In questa fase, questo patto non scompare, ma si affina: le autorità russe intervengono con decisione laddove l’utilità per lo Stato è bassa e il costo reputazionale alto, mentre il nucleo degli operatori ritenuti “di valore” viene toccato in modo più circoscritto.
Ne deriva un “mercato gestito”, dove l’interesse statale – più che la legge – delimita chi viene protetto e chi no.
Dark covenant in Russia: la cronologia dal 2024 al 2025
Gli effetti sono visibili già nella cronologia degli interventi dal 2024 al 2025. Le azioni più spettacolari colpiscono i facilitatori economici e i servizi di cash-out: un caso emblematico è quello di Cryptex e PM2BTC, insieme all’individuo Sergey S. Ivanov (alias “UAPS”), oggetto di designazioni e ordini FinCEN a fine settembre 2024.
Successivamente, il 2 ottobre 2024, il comitato investigativo della Federazione Russa (SKR) ha annunciato un’indagine e circa cento arresti con confische di contanti e beni.
Questa sequenza di eventi evidenzia una risposta pronta quando la pressione internazionale si concentra su snodi specifici della filiera del ransomware; al contempo, gli esiti giudiziari in casi precedenti (per esempio REvil, la super banda del ransomware) restano relativamente blandi, segnalando ai gruppi interni che l’azione punitiva, pur esistendo, tende a mantenere un profilo contenuto se non vengono oltrepassate determinate linee rosse.
Diverso l’atteggiamento verso reti ad alto profilo come Conti/Trickbot. La prima fase dell’operazione Endgame (maggio 2024) ha preso di mira soprattutto droppers e loader come IcedID, SystemBC, Pikabot, Smokeloader e Bumblebee.
Le tattiche nel corso del 2024
In seguito, le campagne successive hanno affiancato sequestri e incriminazioni a tattiche di “naming and shaming” e inclusioni nelle liste dei più ricercati. Il risultato pratico è duplice: all’esterno si dà un segnale di reattività; all’interno si preserva il capitale organizzativo, lasciando sopravvivere leadership, pipeline di sviluppo e coordinamento degli affiliati. Questa selettività produce fratture di fiducia e adattamenti operativi nell’underground.
Nel corso del 2024 si osserva una tendenza a ridurre la visibilità pubblica delle campagne di affiliazione dei principali RaaS, pur con la comparsa di diversi nuovi programmi che puntano su piattaforme come Ramp, XSS, BreachForums e Telegram.
Il requisito della lingua russa come filtro culturale e di sicurezza si rafforza; aumentano controlli e verifiche per evitare infiltrazioni. Permane inoltre la consueta esclusione geografica delle aree CIS, coerente con il perimetro politico entro cui è percepita la tutela domestica.
La compartimentalizzazione
Sul piano dell’OPSEC, l’ecosistema tende ad allontanarsi da piattaforme centralizzate e rafforza la compartimentalizzazione.
L’adozione di strumenti come Tails, macchine virtuali o volumi cifrati è discussa ma rimane eterogenea e non universalmente implementata, risultando ancora sfruttabile in presenza di errori di configurazione.
Al contempo, i takedown che prendono di mira affiliati e clienti, non solo sviluppatori, alimentano l’idea che “scrivere in casa” e conservare privatamente i dati possa essere più sicuro, soprattutto se si ritiene che la collocazione in Russia offra uno scudo relativo in cambio di eventuali contributi o relazioni di convenienza verso le strutture interne.
Primo semestre 2025
Nel frattempo, il perimetro normativo e di policy fuori dalla Russia cambia velocemente. Si affermano consultazioni e proposte per disclosure obbligatorie sui pagamenti, divieti parziali – per esempio in alcuni stati Usa – e autorità per azioni preemptive su infrastrutture avversarie.
Questa pressione costante incide sui flussi finanziari, allunga i tempi di incasso, aumenta i costi di transazione e introduce rischi reputazionali e legali ulteriori per affiliati e broker.
I dati disponibili per il primo semestre 2025 descrivono una crescita dei pagamenti medi e mediani nel secondo trimestre, coerente con un aumento delle richieste di riscatto più che con un calo sistematico dei tassi di recupero, segnale che il business model dell’estorsione tradizionale incontra barriere più alte, cui i gruppi rispondono con Triple extortion (inclusi DDoS e phone pressure), rebranding e, in alcuni casi, migrazione a modelli di sola esfiltrazione e minaccia di pubblicazione.
I volumi
Si registra una proliferazione di varianti e fork di ransomware derivati da builder e codice trapelato, senza che sia possibile quantificarli con precisione.
Cresce anche il numero di blog di estorsione, con un mix di reale compromissione e ripubblicazioni opportunistiche che riducono il segnale utile per difensori e negoziatori.
Sul piano geografico, si mantengono variazioni episodiche legate al rendimento e al rischio di controreazioni.
Dark covenant, il mercato si riconfigura in Russia
Il quadro di insieme suggerisce un’interpretazione di medio periodo: il “mercato” non si contrae, ma si riconfigura. L’enforcement russo continuerà a colpire principalmente enabler a basso valore informativo e ad alta esposizione politica, preservando ambiti ritenuti utili per intelligence e influenza.
Di conseguenza, si può prevedere ulteriore attrito sui cash-out, una maggiore dipendenza da mixer, OTC e giurisdizioni amiche, e un consolidamento dei canali di reclutamento e negoziazione in spazi semi-chiusi, con barriere d’ingresso economiche e culturali più alte.
La privatizzazione temporanea dei servizi più esposti – chiudersi sotto pressione, poi riemergere quando l’attenzione cala – resterà una tattica frequente.
La lezione
Per chi difende e per i decisori pubblici, la lezione operativa è che l’impatto duraturo richiede di agire non solo sui criminali, ma sugli incentivi che sorreggono la protezione.
La resilienza degli attori dipende dalla convenienza della loro protezione: spostare questa convenienza è la chiave per ottenere risultati che vadano oltre la fisiologica capacità di adattamento mostrata.
In prospettiva, si può stimare la prosecuzione di tre direttrici: crescita quantitativa del “rumore” (varianti, blog, impersonatori), rafforzamento qualitativo dei nuclei più protetti e spostamento della pressione normativa verso trasparenza e deterrenza finanziaria.
La dialettica tra questi poli determinerà tempi e modi della prossima riconfigurazione.
