La Russia usa i Ransomware-as-a-Service contro l’Ucraina e i partner. Le armi sono i gruppi come LockBit, BlackCat (ALPHVM), Karakurt, Hive e Black Basta

La Russia sta usando i Ransomware-as-a-Service (RaaS) per portare avanti la cyber warfare contro i paesi e i loro partner, che si sono schierati con l’Ucraina. Gli esempi più eclatanti sono:

• LockBit 3.0, che sta prendendo di mira pesantemente la Francia;
• BlackCat (alias ALPHVM), che ha appena attaccato l’amministrazione locale di Riad in Arabia Saudita;
• Karakurt, che sembra stia concentrando le sue attività soprattutto contro gli Stati Uniti;
• Hive, le cui compromissioni sono in crescita anche se non geo-localizzate specificatamente;
• Black Basta, che ha come bersaglio principalmente il mondo anglosassone.

Alcuni gruppi ransomware, come LockBit, hanno annunciato di essere apolitici e che non avrebbero mai colpito le infrastrutture critiche di nessuna nazione. Altri, invece, non si sono espressi a riguardo. Nel primo caso, però, nonostante i proclami si sono registrati diversi attacchi contro target “proibiti” e – almeno ufficialmente – nessuno dei vertici della formazione ha intrapreso azioni contro i trasgressori.

Molti gruppi ransomware, usati nella cyber warfare di Mosca, sono nati da Conti e non attaccano paesi neutrali. Ciò, nonostante la loro cybersecurity sia inferiore

Un ulteriore elemento di conferma di questa tesi è dato dall’origine comune di Karakurt, BlackBasta, AlphVM/BlackCat e HIVE. Secondo gli esperti di cybersecurity, tutti questi gruppi ransomware provengono dal gruppo Conti, schierato con la Russia e contro l’Ucraina, che ha chiuso formalmente le sue attività a maggio 2022. Gli analisti ritengono che la formazione centrale, nel corso dei due mesi precedenti allo stop, abbia creato delle sotto divisioni con una struttura organizzativa orizzontale e decentrata. Ciò per rendere più difficile gli attacchi per i “cyber nemici” e mantenere comunque in vita l’operazione se uno o più “rami” dovessero essere neutralizzati. Alcune formazioni sono totalmente indipendenti, mentre altre presumibilmente lo sono solo in forma parziale. L’elemento comune sono i bersagli: istituzioni o industrie, legate a Nazioni che si sono schierate con Kiev o sostengono i partner dell’Ucraina. Non è un caso che Stati neutrali non abbiano subito queste aggressioni RaaS, nonostante le loro cyber difese siano inferiori. Ergo, il profitto è solo un obiettivo secondario.