L'APPROFONDIMENTO

REvil, ecco cosa può succedere dopo la “scomparsa” del gigante del ransomware

L’improvvisa scomparsa dei server del gigante del ransomware REvil apre la strada a molte congetture su cosa possa essere realmente successo: intervento governativo o strategia criminale? Nel mezzo, un numero incalcolabile di aziende che hanno dovuto interrompere le trattative per la risoluzione del ransomware rimanendo senza chiavi di decrittazione per sbloccare i dati. Ecco i possibili scenari

21 Lug 2021
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder

La scorsa settimana, i server del gigante del ransomware REvil sono scomparsi. Molti hanno applaudito il fatto che i siti Dark Web, ma anche “pubblici”, utilizzati per supportare l’infrastruttura backend di REvil così come per far trapelare i dati delle vittime, siano andati offline in questi ultimi giorni (apparentemente a partire da martedì 13 Luglio).

Non le vittime di REvil, però. Che ora si trovano bloccate, molte a metà delle trattative, senza la chiave di decrittazione di cui hanno bisogno per sbloccare i loro dati e le loro aziende.

E questo blocco è significativo.

Si tratta di un segreto “aperto”; ma moltissime aziende ancora oggi davanti ad un attacco ransomware scelgono la via del pagamento per sbloccare il proprio perimetro e ristabilire la Business Continuity.

Swascan, ad esempio, nel suo studio Ransomware 2021 Double extortion, analizzando i siti darkweb dedicati alla pubblicazione di dati esfiltrati di 18 tra le Gang più attive nel ransomware, aveva riscontrato come “solamente” 511 aziende – di cui 28 italiane – si erano trovate i propri dati pubblicati.

La ricerca, che aveva preso in considerazione l’intervallo di tempo tra gennaio 2021 e maggio 2021, confermava proprio la teoria che in realtà il ricorso al pagamento del riscatto sia ancora molto diffuso.

Detto in maniera telegrafica: se i dati non erano presenti online, molto probabilmente il riscatto era stato pagato.

Una tendenza che si è riconfermata con il blocco causato da REvil.

La scomparsa di REvil e l’incertezza del futuro

Per quanto riguarda la sparizione di REvil, non era chiaro se si trattasse di un incidente o se i criminal hacker l’avessero fatto di proposito.

WHITEPAPER
Sicurezza garantita per le tue applicazioni: ecco i 5 passaggi chiave da rispettare
Sicurezza
Software

All’inizio della settimana scorsa, sicuramente la pressione sul gruppo di criminal hacker russo era alta.

La lista dei bersagli e delle vittime colpite si era recentemente allungata con l’aggiunta di Kaseya e dei suoi molti clienti Managed Service Provider (MSP), così come il fornitore globale di carne JBS Foods.

Giorni prima – a margine del meeting tra Russia e USA a Ginevra – il governo degli Stati Uniti aveva sferzato la sciabola contro la Russia, la base del gruppo, con il presidente Biden che dichiarava che se la Russia non avesse fatto qualcosa contro i gruppi di criminal hacker basati proprio all’interno del territorio della Federazione, a pensarci sarebbero stati gli americani stessi.

Indipendentemente dal fatto che il gruppo abbia deciso di stare in disparte per un po’ o che i suoi server siano andati offline per qualsiasi altra delle numerose spiegazioni possibili, le vittime di REvil non sono state meglio.

Sono spariti i server utilizzati per negoziare i pagamenti delle estorsioni. Questo ha lasciato un numero incalcolabile di aziende ferme in mezzo al mare senza un alito di vento e le vele sgonfie: dalle enormi e ben fornite aziende Fortune 500 fino a negozianti, studi legali e altre piccole imprese che non hanno le risorse IT per trascinarsi da sole fuori dalla voragine del ransomware.

In particolare, nell’area del Nord America, da una settimana a questa parte, i loro affari sono stati paralizzati, le trattative per la risoluzione del ransomware sono state interrotte e sono rimasti senza chiavi di decrittazione per sbloccare le loro operazioni.

Geopolitica o strategia? Le possibili teorie

Ci sono molte teorie che vengono supportate al momento su ciò che possa essere successo; e – nonostante anche i tentativi di riaprire una linea di comunicazione – i membri della gang REvil sono per il momento rimasti silenti. Questo, appunto, lascia solo spazio a congetture.

La sparizione in sé non è terribilmente insolita. Questi attori vanno e vengono, “si riavviano”.

Guardiamo gruppi come Babuk, che ne hanno fatto una vera e propria abitudine e si sono ribattezzati diverse volte; ma anche Maze a fine 2020, poi disseminatosi in altri cartelli come Egregor.

Certo è un po’ insolito per REvil, essendo questo uno dei più prominenti e “vocali” dei gruppi di criminal hacker.

È veramente possibile che questi ultimi abbiano deciso di tirare i remi in barca perché già appagati dai guadagni ottenuti con i loro attacchi? È forse la classica strategia di tenere un basso profilo dopo il “colpo”?

Difficile da dire, perché sì è vero stiamo parlando di criminali, ma dobbiamo ricordarci che, dopotutto, anche se tali, questi gruppi operano in maniera simile alle imprese: il profitto è lo scopo finale. Quale impresa chiude i battenti dopo aver avuto una buona annata? Soprattutto se – come accennato – si tratta di un gruppo “agguerrito” come REvil, meno avvezzo a sentire le pressioni.

La scomparsa di REvil e l’ipotesi dell’intervento governativo

Quale potrebbe essere, allora, un altro motivo di questo spegnimento?

Beh ovviamente l’intervento governativo.

Lo scorso 16 giugno, nell’incontro tra Putin e Biden organizzato su terreno neutro a Ginevra, all’ordine del giorno vi erano molte questioni legate alla Cyber Security e alla condotta dei criminal hacker ufficiosamente legati al Cremlino.

Il Presidente degli Stati Uniti aveva già allora minacciato ritorsioni nel caso gli attacchi fossero continuati.

Quindi, in questo caso, l’intervento potrebbe essere stato orchestrato e portato direttamente avanti da Washington – per dare un forte segnale d’intento – o direttamente pilotato da Mosca, per mostrare la volontà di collaborare e di abbastare le tensioni con la zona Nato.

La seconda opzione, tra l’altro, è anche la più accreditata all’interno dei forum underground.

Un appeasement per gli Stati Uniti, mentre molte aziende colpite restano di fatto bloccate in cerca di una rapida soluzione.

Ma niente di tutto questo è stato confermato.

Il paradosso del caso REvil: la dispersione delle competenze

Congetture a parte, ciò che resta di fatto degli attacchi portati a termine da REvil e dalla sua sparizione è il grande paradosso del: è meglio avere un interlocutore o eradicare la minaccia?

Se REvil fosse stato veramente abbattuto e non si fosse “ibernato” per far passare la tempesta, viene a mancare completamente il rapporto tra vittima e carnefice. Rapporto “malato” in sé, ma necessario per stabilire un qualsiasi tipo di trattativa e di contatto.

Il rischio vero, nel caso l’opzione smantellamento si rivelasse vera, è che gli attori che facevano parte di REvil si disperdano.

Si disperdono conoscenze e modus operandi e si moltiplicano i potenziali aggressori che possono portare a termine un attacco.

È sempre calzante la metafora dell’Idra in questo caso: tagli una testa ne crescono due.

La riprova?

Tramite il servizio di Malware Threat Intelligence di Swascan, tra il 19 giugno e il 19 luglio, sono stati identificati 173.192 malware “in the wild”. Una ulteriore analisi ha permesso di rilevare che ben 9.286 sono nuovi artefatti malevoli.

Sintomo di come le competenze “disperse” dalla chiusura di REvil siano già all’opera.

Malware Threat Intelligence – Swascan.

Stiamo sempre parlando di paradossi, ovviamente; perché è giusto combattere il cyber crime – volendo ripetere un’ovvietà – ma con i gruppi ransomware si rischia sempre di amplificare il fenomeno.

Non abbassiamo la guardia.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr