skip to Main Content

Cybercrime, esplode il fenomeno dei “Cartelli” del ransomware

di Pierguido Iezzi

Nel panorama delle minacce alla cybersecurity, si è passati dagli attacchi dei singoli gruppi ransomware a veri e propri “Cartelli”

L’antico adagio “l’unione fa la forza” denota che l’impegno congiunto può portare a raggiungere un obiettivo comune, arrecando benefici a tutte le parti coinvolte.  Sulla stessa falsariga, diversi gruppi di cyber criminali hanno unito le loro forze per aumentare il tasso di successo delle loro campagne offensive. Molti threat actor organizzati sono presenti nei marketplace illegali, in cui è possibile scambiarsi pareri e condividere idee rispetto a tool, malware sample e obiettivi ad alto potenziale. Non sono rare le notizie riguardanti nuove campagne di ransomware ma quel che molti di noi non sanno e che spesso sono correlate fra loro. Una recente analisi portata avanti da Analyst 1, denominata “Ransom Mafia – Analysis of the World’s First Ransomware Cartel,” (ovvero la “Mafia del Riscatto – Analisi sul primo cartello mondiale del ransomware”) ha rivelato che i gruppi del cybercrime responsabili di alcune campagne di ransomware spesso mantengono relazioni “lavorative” per formare un cartello nel mondo sommerso dell’hacking.

Che cos’è la “Mafia” di gruppi ransomware e come opera

Un cartello di ransomware è un insieme di diverse gang di criminali informatici che collaborano nelle operazioni di Ransomware condividendo risorse, tattiche e profitti. I ricercatori di cybersecurity hanno analizzato i portafogli Bitcoin degli aggressori e le loro transazioni associate per scoprire il percorso del denaro dalle vittime ai Criminal Hacker e dalla banda agli altri partner. Questo, peraltro, è spesso formato per espandere la sua portata e le sue entrate. Per esempio, il gruppo cchiamato Twisted Spider ha creato una sorta di Mafia nel novembre del 2020, dopo l’annuncio della cessata attività delle operazioni del suo ransomware, Maze. Anche se tale dichiarazione pubblica si è poi rivelata ingannevole, se non addirittura priva di fondamento, la gang ha formato un’alleanza con altre realtà del cybercrime tra cui Wizard Spider, Viking Spider, Lockbit e SunCrypt). Il legame scoperto nel report evidenzia che i gruppi collaborano e lavorano insieme, condividendo risorse per completare l’estorsione alle vittime. Diverse fazioni hanno compromesso e sottratto dati alla vittima, per poi passare tali dati a Twisted Spider che ha tentato di negoziare il pagamento di un riscatto attraverso il proprio sito di data leak. Questo tipo di collaborazione e condivisione non potrebbe prendere corpo se non ci fosse un rapporto di forte fiducia fra i vari threat actor.

Come funzionano gli attacchi delle “alleanze”

Le gang del cybercrime affiliate al cartello distribuiscono i dati della vittima su più siti web appartenenti a diversi altri gruppi dell’alleanza. In altre parole, un gruppo criminale viola il sistema informatico e sottrae i dati per poi passarli a un’altra gang che ha postato pubblicamente la refurtiva per iniziare i negoziati con la vittima. I criminali si coordinano tramite i loro siti, condividendo tattiche, infrastruttura di comando e controllo e condividendo i dati delle vittime.  Gli aggressori, peraltro, si stanno spingendo verso la direzione degli attacchi automatizzati. Ad esempio nel rilascio dei payload all’interno dei sistemi informatici da colpire, così da allargarsi e infettare un numero sempre maggiore di obiettivi senza la necessità di un intervento umano. Non a caso, le richieste di riscatto continuano ad aumentare. Nel complesso, le gang appartenenti al cartello hanno generato ricavi pari a centinaia di milioni di dollari dalle operazioni di estorsione.

Il “Cartello” dei cyber criminali offre servizi MaaS e reinveste i proventi dei riscatti

Diverse gang appartenenti alla “Mafia” del cybercrime offrono prodotti e servizi di Ransomware as-a-Service (RaaS). Lo fanno ingaggiando hacker per eseguire gli attacchi, fornendo loro malware, infrastrutture e servizi di negoziato del riscatto. Gli aggressori fanno interviste con giornalisti, rilasciano comunicati stampa e sfruttano il potere dei social media (anche attraverso annunci a pagamento) per spingere le vittime a pagare. I proventi realizzati da queste attività vengono poi reinvestiti, come già visto in precedenza, allargando il campo d’azione dell’organizzazione stessa. I malware vengono aggiornati regolarmente, con l’aggiunta di nuove funzionalità sofisticate per aggirare le misure difensive. Wizard Spider ha proprio sviluppato un codice malevolo del tutto unico del suo genere, orientato allo spionaggio puro anche se non sono state rintracciate prove “in the wild”

Vari gruppi del cybercrime in passato avevano annunciato la fine delle operazioni. Poi, però, grazie alla nuova “Mafia”, hanno continuato anche se dietro le quinte

I gruppi specializzati nell’uso di ransomware hanno annunciato chiaramente la volontà di concludere per sempre la loro attività ma in realtà sono tornati più forti che mai, coalizzati in cartelli grandi e potenti. È facile immaginare come queste gang continueranno a collaborare insieme. La relazione lavorativa, continuerà probabilmente dietro le quinte. I gruppi criminali continueranno a condividere tattiche e risorse, diventando ancora più pericolosi rispetto ad attività indipendenti. i ransomware e i malware usati per ottenere il primo accesso diventeranno sempre più complessi, richiedendo nuovi investimenti da parte di aziende ed enti governativi.

Non abbassiamo la guardia!

Back To Top