di Pierguido Iezzi

I Criminal Hacker dietro a REvil cercano reclute

Il gruppo del cybercrime dietro il ransomware REvil (alias Sodinokibi), uno degli strain più potenti presenti nel panorama delle minacce cyber, è in cerca di reclute per ampliare i propri ranghi. Per dimostrare che “non sta scherzando” ha depositato una quantità di bitcoin pari a 1 milione di dollari su un sito di Criminal Hacker russi. Un segnale forte, questo milione di dollari – il gruppo stesso ammette – è stato versato per dimostrare che il malware è pronto a “portare a bordo” nuovi partner ed è pronto a spendere. E non si tratta di “acquisizioni” di basso profilo, ha infatti annunciato di essere specificatamente alla ricerca di nuovi “affiliati”, che saranno responsabili dell’hacking delle organizzazioni con ransomware.

Il gruppo del cybercrime punta ad affiliati con esperienze e competenze nel penetration testing

REvil ransomware opera come parte di quella nuova categoria di “imprese del Cybercrime”, offrendo un modello di “Ransomware-as-a-Service” (Raas). Il loro team principale di sviluppatori progetta il ransomware, mentre i cosiddetti affiliati infettano i target con il malware. Gli sviluppatori ricevono un taglio del 20-30% dai proventi di qualsiasi attacco ransomware riuscito, mentre gli affiliati ricevono un “payout” del 70-80%. Come spiega il post fatto della gang, attualmente sta cercando persone con “esperienza e competenze nel campo del penetration testing”. In altre parole, sta cercando hacker (che magari sono pronti a fare il salto da Ethical a Criminal).

Questo ransomware è sempre più presente nel panorama delle minacce alla cybersecurity

Non deve però sorprendere troppo questa mossa. Proprio come le organizzazioni “normali”, anche il cybercrime necessità di investire in personale quando gli “affari” vanno a gonfie vele. E il ransomware sta andando “fin troppo bene”. L’uso di questo tipo di malware è cresciuto in modo esponenziale negli ultimi anni. Un rapporto di settembre della società di cybersecurity Bitdefender ha rilevato un aumento del 715% solo negli ultimi 12 mesi. Impatto amplificato anche della pandemia di coronavirus, che non solo ha offerto un maggior numero di target, ma anche leve più efficaci quando gli operatori hanno colpito strutture critiche. Solo qualche settimana fa, per esempio, attacco di ransomware in Germania ha provocato la morte di una paziente dopo che la struttura ospedaliera si era trovata con i sistemi bloccati e la vittima era stata trasferita in un ospedale di un’altra città.

Le “Ransomware gang” non si fanno alcuno scrupolo, anche in un momento complesso come questo, caratterizzato dall’emergenza Covid-19

Sintomo di come le “Ransomware gang” non si facciano alcuno scrupolo anche in momenti complessi come questo. Il versamento di un milione di dollari fornisce una chiara visione di quanto sia redditizia questa attività di interruzione dei sistemi informatici. La banda di REvil ha depositato bitcoins per il valore citato in un portafoglio elettronico ospitato dal sito web su cui ha pubblicato l’annuncio. Questo lo rendeva vulnerabile al furto da parte del proprietario del sito, ma a quanto pare il gruppo non era troppo preoccupato da questa possibilità. Un atto di forza che rappresenta perfettamente “un’industria” in crescita e che probabilmente crescerà e attirerà reclute tanto più le organizzazioni mondiali intraprendono la digitalizzazione. I criminali informatici sono diventati altamente organizzati, e questa mossa da parte di REvil dimostra ulteriormente che anche loro investono in “risorse umane e in ricerca e sviluppo”.

Il cybercrime oggi ha anche una “academy”

Stiamo assistendo a una vera e propria trasformazione del mondo del cybercrime. Se fino a qualche anno fa il mondo del cybercrime non era particolarmente noto per la sua inclusività, oggi stiamo assistendo a una democratizzazione vera e propria del “settore”. Pensiamo al caso di qualche mese fa di CryptBB, uno dei forum più famosi della scena del Criminal Hacking, che invitava Criminal Hacker neofiti ad iscriversi e imparare dai “colleghi” più esperti. I gestori di CryptBB, verso la fine del 2019, hanno creato uno spazio designato per quelli che, secondo il rapporto dei ricercatori di cyber security, sono i “nuovi arrivati”.  Si tratta di Criminal hacker che hanno fallito il processo di candidatura, ma che hanno comunque voluto affinare le loro competenze e imparare non solo gli uni dagli altri, ma anche dai membri più esperti del forum.

Il fenomeno è nato con KickAss ed Exploit, ma i due siti avevano capacità molto più limitate rispetto a CryptBB

Gli unici precedenti, KickAss ed Expoit (due siti simili a CryptBB), erano avvenuti con la condizione che per accedervi, qualora non si avesse le competenze necessarie, si dovesse pagare una quota fissa. Tattica che da una parte aveva garantito un aumento degli iscritti e dall’altra si era rivelata finanziariamente vantaggiosa per gli admin. Nel caso di CryptBB, invece, non solo non c’è un paywall; ma i gestori hanno creato addirittura un sub-forum dedicato per condividere le conoscenze e aiutare gli altri gratuitamente. Insomma, recruiting, training e advertising…il Cyber Crime si sta strutturando rapidamente. Per questo motivo il motto deve sempre rimanere Non Abbassiamo la guardia!