L'ANALISI

Cryptocurrency exchange, l’incasso dei ransomware passa per Mosca: quali scenari

Malgrado i recenti interventi delle autorità USA, è chiaro che riuscire a stanare gli autori materiali degli attacchi ransomware rimane un’impresa assai ardua, soprattutto quando questi operano all’interno di Stati che consentono – o quantomeno tollerano – determinati tipi di attività. Come quelle che avvengono nel grattacielo Vostok di Mosca

22 Dic 2021
G
Alessandro Gorini

Junior Analyst - Hermes Bay

Un “cash-out point” di prestigio: con i suoi 97 piani, la Federation Tower East – o semplicemente “Vostok” in russo – e da anni nel mirino dell’intelligence statunitense. L’interesse, tutt’altro che architettonico, è dovuto alla natura delle attività che abitualmente, alla luce del giorno, avvengono nel secondo grattacielo più alto d’Europa. Simbolo della rinascita economica russa postsovietica, la Federation Tower – a detta di molti esperti di cyber security – sarebbe teatro di un rodato sistema di riciclaggio di denaro.

Molti cyber criminali avrebbero infatti trovato nel “Vostok” un approdo sicuro per convertire i proventi delle proprie malefatte in moneta in corso di validità, sia essa espressa in dollari, in euro o più raramente i rubli.

Ransomware: il mercato nero delle estorsioni

Secondo quanto ricostruito dal Dipartimento del Tesoro degli Stati Uniti, solo nel primo semestre del 2021, gli attacchi ransomware avrebbero fruttato nelle “tasche virtuali” degli hacker circa 590 milioni di dollari, segnando in questo modo un più 42% rispetto a quanto riscosso in tutto il 2020. Cifre da capogiro che dimostrano ineluttabilmente come il giro d’affari che ruota attorno alle estorsioni via internet costituisca un’attività quantomai redditizia, almeno sulla carta.

WEBINAR
12 Ottobre 2022 - 11:00
Massimizza l’investimento in cloud in 5 step
Cloud
Datacenter

Si pensi che i cittadini statunitensi, sempre secondo quanto ricostruito dal Dipartimento del Tesoro a stelle e strisce, avrebbero sborsato – dal 2011 ad oggi – 1,6 miliardi di dollari in riscatti.

Alle vittime di ransomware – quasi sempre aziende, ospedali e altre articolazioni della pubblica amministrazione – viene generalmente richiesto un pagamento in criptovaluta. Un modus operandi che, se ben ampiamente collaudato dai criminali informatici, trova il suo limite al momento dell’incasso “effettivo”.

Una volta ottenuto quanto richiesto, ai malviventi rimane il non facile compito di trasformare quanto guadagnato virtualmente in moneta corrente. Ed è proprio in questo passaggio che entra in ballo la Federation Tower, o almeno alcuni piani di essa.

Il maestoso grattacielo russo, situato nel cuore del distretto finanziario di Mosca – altresì noto come Moscow City – è la sede di almeno 15 compagnie di “cryptocurrency exchange”. Benché la mera attività di cambio – del tutto regolamentata in buona parte del mondo – non implichi automaticamente un coinvolgimento in attività illecite è chiaro che laddove prevale la pura logica affaristica rispetto alla legalità e l’integrità morale, questa vada ad agevolare l’esistenza di chi, di strumenti come il ransomware, ne ha fatto il proprio core business.

Cyber spionaggio e attacchi ransomware: nuovi ostacoli per la cooperazione tra USA e Russia

Sotto accusa i cryptocurrency exchange

Al di là dei meri sospetti, l’Amministrazione Biden ha per ora imposto delle sanzioni nei confronti della compagnia Suex – la cui sede si trova al trentunesimo piano del Vostok. Secondo le accuse, Suex dal 2018, «ha facilitato le transazioni di proventi illeciti derivanti da almeno otto ransomware». Una vera e propria macchina da riciclaggio che, in meno di tre anni, avrebbe ripulito 160 milioni di dollari – transazioni che, secondo il Dipartimento del Tesoro, rappresenterebbero più del 40% sul totale delle operazioni svolte dalla compagnia.

Altra azienda sotto i riflettori degli inquirenti statunitensi è la EggChange – sempre localizzata nel Vostok, ma questa volta al ventiduesimo piano. Il CEO, Denis Dubnikov, è stato arrestato in Olanda in ottemperanza al mandato di cattura internazionale disposto dagli Stati Uniti. A suo carico, accuse pesanti: riciclaggio e favoreggiamento di attività illegali connesse ai cyber crimini. Dubnikov, benché abbia negato ogni coinvolgimento, sarà molto probabilmente estradato e processato negli USA.

È evidente come l’Amministrazione Biden abbia scelto la linea dura contro chiunque possa essere connesso ad attività che minacciano la sicurezza degli Stati Uniti. Già lo scorso giugno, durante un meeting svoltosi a Ginevra, il Presidente Biden aveva fatto pressioni al suo corrispettivo russo, Vladimir Putin, affinché si impegnasse a stroncare la gang di hacker DarkSide.

Connazionali di Putin, questo gruppo di banditi cibernetici è salito alla ribalta della cronaca lo scorso maggio, quando un loro attacco ransomware aveva paralizzato la Colonial Pipeline, la più importante rete di oleodotti degli USA. L’amministratore delegato del colosso statunitense, Joseph Blount, aveva ammesso al Wall Street Journal di aver pagato 4,4 milioni di dollari – cifra per metà recuperata grazie al lavoro svolto dall’FBI – a DarkSide, affinché i sistemi informatici dell’infrastruttura venissero ripristinati.

Attacco a Colonial Pipeline, il prima e dopo che stanno cambiando lo scenario del cyber crime

Gli ostacoli nella lotta ai gruppi ransomware

Malgrado gli interventi delle autorità statunitensi, è chiaro che riuscire a stanare gli autori materiali di questo genere di attacchi rimane un’impresa assai ardua, soprattutto quando questi operano all’interno di Stati che consentono – o quantomeno tollerano – determinati tipi di attività.

In Russia, ad esempio, dove questo genere di crimini è soggetto a una regolamentazione alquanto blanda, le azioni legali scattano solo quando si manifestano palesi violazioni della legge statale – non internazionale né tantomeno quella facente capo ad altri Stati.

Oltre alla mancanza di una regolamentazione internazionale, un altro ostacolo presente – e non di poco conto – riguarda la reale capacità di poter risalire all’identità di coloro che commettono tali reati.

In un “settore” dove l’anonimato è tutto, ecco tornare in ballo le aziende di cryptocurrency exchange che operano all’interno della Federation Tower East. Parafrasando quando dichiarato da Gurvais Grigg sul NYT – un ex agente dell’FBI attualmente ricercatore presso Chainalysis (una società di monitoraggio delle criptovalute) – gli uffici di cambio sono uno dei punti nevralgici dell’universo ransomware.

L’anonimato di cui godono coloro che ottengono i proventi derivanti dai riscatti pagati dalle vittime in criptovalute, salterebbe – almeno in teoria – al momento dell’incasso presso uno dei vari uffici adibiti nel Vostok.

Benché le criptovalute consentano al possessore di operare in un regime di quasi pieno anonimato, i codici informatici in esse contenute consentono di tener traccia di tutte le transazioni che intercorrono da un utente all’altro.

Questo fattore, unito al fatto che per usufruire dei servizi erogati dalle aziende di cambio sia necessario registrarsi formalmente, consentirebbe di risalire all’identità di chi ha effettuato l’ultima operazione.

Ovviamente però, tale filiera può essere aggirata dai cybercriminali mediante l’utilizzo di prestanomi o di altri strumenti come passaporti e documenti falsi o contraffatti. Tuttavia, ciò che dovrebbe far riflettere è il grado di impunità e di spregiudicatezza che determinate compagnie di cryptocurrency exchange avrebbero adoperato per venire incontro ai loro “chiacchierati” clienti.

In particolar modo, la già citata EggChange. Secondo quanto ricostruito da Bloomberg, gli accordi e lo scambio di istruzioni tra la compagnia e gli avventori avveniva quasi interamente su Telegram. Una volta stabilita la commissione per la transazione di denaro, al neo-cliente non sarebbe rimasto altro che mandare in sede un proprio “delegato” – un money mule – per finalizzare le varie operazioni. Una volta giunto alla Federation Tower, nessuno gli avrebbe chiesto documenti o altro, ma solo di digitare il codice precedentemente inviato per chat.

Conclusioni

Appare evidente che qualcosa di losco avvenga tra le mura del secondo grattacielo più alto d’Europa, tuttavia la Federation Tower East potrebbe essere solo la punta dell’iceberg.

Basti pensare che nel distretto finanziario di Mosca sono più di 50 le aziende dedite al cryptocurrency exchange.

WHITEPAPER
Energy e Blockchain: quali opportunità?
Blockchain
Utility/Energy
@RIPRODUZIONE RISERVATA

Articolo 1 di 2