Ransomware, la crisi del cybercrime in Russia e l’ombra del Cremlino dietro gli attacchi: i nuovi scenari - Cyber Security 360

L'APPROFONDIMENTO

Ransomware, la crisi del cybercrime in Russia e l’ombra del Cremlino dietro gli attacchi: i nuovi scenari

I recenti dibattiti sulle cause e gli effetti degli attacchi ransomware si sono concentrati sulla cyber criminalità, sottolineando come possano esserci dei collegamenti, diretti o indiretti, tra gruppi illegali operanti sul suolo russo e il Cremlino. In un connubio inevitabilmente destinato a perdurare nel futuro

17 Set 2021
F
Federico Ferronetti

Analista Hermes Bay

La crescente diffusione dei ransomware sembra essere ad oggi inarrestabile e fuori controllo. Da piccole imprese a grandi aziende d’importanza globale, da scuole e ospedali fino alle infrastrutture critiche di uno Stato, gli autori dietro questi sofisticati malware non risparmiamo nessun settore, e ciò non deve sorprendere, considerato quanto lucrativo sia divenuto il mercato dei ransomware e quanto sia relativamente facile acquisire questi programmi nel Dark Web.

Il mercato nero del Ransomware-as-a-Service

Intorno a questo mercato è venuto a crearsi un vero e proprio business basato su un modello denominato Ransomware-as-a-Service (RaaS), nel quale i programmatori dei software malevoli offrono in affitto il prodotto a soggetti terzi, lasciando loro libera scelta sui target da colpire.

Basti pensare che solo nel 2020 l’economia degli Stati Uniti, uno dei paesi maggiormente colpiti da campagne ransomware, ha subito perdite per oltre 4 miliardi di dollari dovute al pagamento dei riscatti richiesti dagli hacker, secondo le statistiche rilasciate dal Federal Bureau of Investigation.

Come noto, gli attacchi sembrano originare prevalentemente da un numero ristretto di nazioni quali Cina, Corea del Nord e Russia.

Guida al ransomware: cos’è, come si prende e come rimuoverlo

Ransomware: l’ombra del Cremlino dietro gli attacchi

Proprio relativamente alla Russia, i recenti dibattiti sulle cause e gli effetti dei ransomware si sono concentrati sulla cybercriminalità, sottolineando come possano esserci dei collegamenti, diretti o indiretti, tra gruppi illegali operanti sul suolo russo e il Cremlino. Tale questione è diventata infatti di vitale importanza nelle relazioni tra la Federazione Russa e il mondo occidentale.

Gli Stati Uniti accusano il governo russo di proteggere, nascondere e perfino reclutare esperti di attacchi informatici, assegnando loro missioni di sabotaggio informatico volte a seminare disordine in Stati avversari.

Secondo Washington, l’industria IT della Russia è senz’altro una delle più avanzate a livello globale, con esperti di programmazione dedicati ad operazioni di hacking da oltre vent’anni. Inoltre, si ipotizza che il governo russo non abbia perso tempo nel mettere sotto controllo ogni tipo di attività malevola sul web, ma con una regola precisa: come sottolineato da Karen Kazaryan, CEO del Internet Research Institute di Mosca, i cybercriminali residenti in Russia raramente sono soggetti ad interferenze da parte del governo federale, a patto che le loro vittime non rientrino negli interessi della nazione e della sua sfera d’influenza.

Dominando con la forza il business illegale del cybercrime, il Cremlino sarebbe quindi in grado non solo di difendere i suoi interessi e quelli dei suoi alleati, ma anche di riversare gli attacchi contro i propri nemici su scala globale.

La linea sostenuta da Mosca è ben diversa: Vladimir Putin ha ribadito più volte, in particolare a seguito dell’elezione di Joe Biden alla presidenza degli Stati Uniti, che il suo governo non è direttamente responsabile di tali attacchi e a testimonianza di ciò cita la mancanza di concrete prove che leghino il Cremlino a gruppi di criminalità informatica, accusando invece l’occidente di voler così promuovere campagne di disinformazione volte a danneggiare l’immagine internazionale della Russia.

Il ruolo del governo russo nella crisi dei ransomware

Prima di esaminare le più recenti teorie riguardo il ruolo del governo russo nella crisi dei ransomware, facciamo un passo indietro per presentare in breve alcuni cenni storici sull’argomento.

Come menzionato in precedenza, il panorama del cybercrimine in Russia è attivo da oltre vent’anni, quando truffare utenti sul web era una comune occorrenza specie per giovani in difficoltà economiche.

La tendenza non si è fermata con il miglioramento delle condizioni economiche, come testimoniato dal fatto che sempre più hacker risultavano essere giovani diplomati. Il crimine informatico era molto più lucrativo di un regolare impiego.

Il passaggio dalle rudimentali truffe via mail alle prime versioni dei ransomware è avvenuto circa dieci anni fa: da allora la loro evoluzione è stata costante e ha subito un’accelerazione ulteriore con l’avvento delle criptovalute, offrendo ai malviventi un maggiore livello di anonimità accompagnato da un clima di quasi totale impunità, oltre ad incrementare i riscatti richiesti.

È legittimo suppore che il Cremlino, notando le doti informatiche dei primi hacker, abbia attivato i servizi nazionali di intelligence per individuare i responsabili degli attacchi, non sempre per arrestarli: al contrario sarebbe stata offerta loro la possibilità di rimanere in libertà purché il loro lavoro fosse svolto a vantaggio dello Stato.

È possibile ipotizzare simili collaborazioni notando come diversi attacchi informatici provenienti dal territorio russo abbiano dimostrato uno stile paragonabile alle attività svolte proprio dai servizi di intelligence russi quali il Federal Security Service (FSB) e il Foreign Intelligence Service (SVR), citando come esempio la raccolta di dati sensibili mediante l’utilizzo di spyware.

Dai forum fino al Dark Web, il governo si è impegnato quindi nell’esercitare un’influenza assoluta sull’intero business, stabilendo relazioni di vario livello con il cybercrime.

Secondo un rapporto di Insikt Group, tali relazioni possono essere riassunte in due categorie: in primo luogo vi sono i rapporti diretti, nei quali il governo accoglie volontari disposti a lanciare attacchi cibernetici contro i nemici della Russia, oppure quando una persona viene forzata a lavorare per il governo, pena il rischio di essere incarcerati.

In secondo luogo, può verificarsi un’affiliazione indiretta, cioè un legame segreto tra governo e gruppi hacker che non può essere confermato.

Un esempio chiave è rappresentato dall’attacco all’oleodotto statunitense Colonial Pipeline avvenuto nel maggio 2021: il gruppo hacker DarkSide, basato in Russia, dichiara di essere apolitico e di non lavorare per nessun governo, sebbene il danneggiamento di un servizio chiave sarebbe in linea con il presunto obiettivo del Cremlino di destabilizzare l’economia del suo principale avversario.

Attacco a Colonial Pipeline, il prima e dopo che stanno cambiando lo scenario del cyber crime

I timori della comunità cyber internazionale

Nonostante le numerose teorie avanzate in anni recenti, il legame tra governo russo e criminalità informatica rimane ancora oggi una questione aperta e irrisolta.

Vladimir Putin si è dimostrato disposto ad affrontare direttamente il problema, particolarmente dopo i gravi attacchi ransomware contro importanti entità quali la Colonial Pipeline e la brasiliana JBS.

La recente gravità della situazione ha contribuito ad un netto peggioramento delle già tese relazioni diplomatiche tra Russia e Stati Uniti, portando le due potenze a confrontarsi nel vertice bilaterale di Ginevra tenutosi il 16 maggio di quest’anno.

In tale occasione, Joe Biden tracciò per il suo omologo russo una red line, elencando una serie di infrastrutture chiave da considerarsi off-limits per attacchi informatici.

Sebbene nulla fu specificato sulle conseguenze, si presuppone che un nuovo attacco hacker di grandi dimensioni possa portare ad una risposta governativa degli Stati Uniti.

Anche se è troppo presto per dare un giudizio definitivo, si ipotizza che il vertice abbia portato dei risultati positivi iniziali: Putin si è infatti mostrato aperto a considerare l’estradizione di malviventi ricercati dagli Stati Uniti, a patto che il governo americano sia disposto a fare altrettanto.

È interessante notare che il noto gruppo REvil, di matrice russa e autore dell’attacco ransomware contro JBS, abbia momentaneamente cessato le proprie attività dopo il vertice. Inoltre, in una chiamata a seguito dell’incontro, i due leader si sono accordati per il mantenimento di una comunicazione attiva e di scambiare informazioni rilevanti riguardo attacchi cyber.

Non tutti vedono con positività questi segnali distensivi. Esperti in area cyber di diverse nazioni, riunitisi alle Nazioni Unite proprio a maggio del 2021, hanno proposto e accettato all’unanimità una serie di norme “volontarie” che gli Stati sono invitati a seguire al fine di mantenere un ambiente cyber privo di azioni destabilizzanti, come attaccare le infrastrutture critiche.

Diversi analisti sostengono, però, che soltanto l’imposizione di stringenti e punitive regole potrebbero alterare il comportamento ambiguo del Cremlino nei confronti degli hacker.

C’è chi va oltre, sostenendo che l’apparente protezione statale fornita agli hacker rappresenti una violazione della legge internazionale, tanto che si potrebbe considerare la Federazione Russa un “cybercrime superpower”.

Per contro, alcuni analisti sostengono una teoria opposta: il Cremlino è stato in grado di stabilire rapporti diretti con gli hacker e controllarli solo in una fase iniziale, per poi perderne il controllo una volta raggiunto un elevato livello di sofisticatezza delle loro attività.

USA e cyber guerra: ecco le misure di sicurezza per proteggere il sistema Paese

In conclusione

Il rapporto di InsiktGroup afferma come il presunto connubio tra Cremlino e criminalità informatica sia inevitabilmente destinato a perdurare nel futuro.

Finché la comunità internazionale non interverrà sulla questione in modo unitario, il governo russo difficilmente sentirà una pressione tale da modificare le proprie azioni. dopo la sua presunta scomparsa a seguito del vertice di Ginevra, infatti, anche il gruppo REvil è tornato in attività, sintomo che le azioni intraprese dal Cremlino non siano state finora sufficienti ad arginare il problema.

Proprio per tale ragione, dal momento che ancora oggi simili gruppi criminali possono liberamente lanciare attacchi cyber dal suolo russo senza ripercussioni, il mondo occidentale continua a sostenere l’implicazione del Cremlino.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5