Gli Shadow Brokers minacciano il mondo con un post su internet

Ci potrebbero presto essere nuove ondate di cyber attacchi in tutto il mondo, dopo l’offensiva con il ransomware WannaCry. Questa è stata lanciata venerdì scorso e non sembra ancora finita, anche se nelle ultime ore c’è stato un forte rallentamento della diffusione del malware. Il gruppo che ha diffuso il ransomworm, gli Shadow Brokers, infatti, ha minacciato di far circolare nuovi codici. Ancora più malevoli ed evoluti, in grado di penetrare i software, i computer e i cellulari più usati. A proposito, gli hacker hanno scritto un post in cui si promette da giugno di rendere disponibili ogni mese nuovi tool a chiunque pagherà per avere accesso ad alcuni dei più grandi segreti commerciali nel mondo tecnologico.

Gli hacker promettono che diffonderanno i dati segreti di Russia, Iran e Corea del Nord

Non solo. Gli Shadow Brokers hanno anche minacciato di scaricare i dati bancari usando il network internazionale di trasferimento monetario SWIFT e quelli legati ai programmi missilistici e nucleari di Russia, Cina, Iran e Corea del Nord. Su questo versante hanno promesso “maggiori dettagli a giugno”. Non è chiaro se le affermazioni siano solo una minaccia a vuoto, oppure reale. Il problema è che i governi non possono permettersi che si ripeta quanto accaduto con ransomware WannaCry, Di conseguenza, si lavora per aumentare la cybersecurity delle infrastrutture critiche e si stanno approntando CERT appositi. Questi interverranno in caso di minaccia. Inoltre, c’è una corsa contro il tempo per scoprire chi siano gli hacker e per fermarli prima che colpiscano di nuovo. Anche con scambi di informazioni tra paesi finora poco collaborativi sul versante.

Si sospetta che la Corea del Nord sia dietro alla campagna del ransomware WannaCry

Alcuni ricercatori sospettano che la Corea del Nord sia dietro all’attacco hacker con WannaCry. Ci sono elementi che collegano Pyongyang al ransomware. In particolare il codice sorgente delle prime versioni del malware, che è apparso in alcuni programmi utilizzati dal gruppo Lazarus. Questo opera come cyber braccio del regime di Kim Jong-un. Gli esperti di Symantec e di Kaspersky ritengono, invece, che sia troppo presto per dire se ci sia stato un effettivo coinvolgimento nel cyber attacco. Anche FireEye si mantiene cauta. Dall’azienda fanno sapere che le similarità non sono abbastanza uniche per suggerire che la mano sia la stessa.

Alcuni segnali, però, non corroborano questa tesi

Ci sono, comunque, dei segnali che fanno pensare. Innanzitutto nelle prime versioni di WannaCry c’era un kill switch. Questo ha permesso a un giovane ricercatore di bloccare temporaneamente la diffusione del ransomware. Un gruppo di hacker esperti come Lazarus, che si ritiene responsabile del furto di 81 milioni di dollari alla Banca centrale del Bangladesh, difficilmente avrebbe commesso un errore da principianti. Inoltre, gli hacker sono noti per perseguire in primi la ricerca di grossi guadagni. Invece, finora, il malware ha fatto guadagnare ai suoi padroni circa 42.000 dollari. Sicuramente saranno di più, a seguito del fatto che molte vittime non denunciano di aver pagato per vergogna o per la paura di perdere credibilità. Ma anche nel caso fossero il doppio, la cifra è comunque sotto gli standard degli obiettivi di Lazarus.

Il ransomware potrebbe essere stato lanciato in 2 fasi da gruppi diversi

Non solo. Appare strano anche lo scopo stesso dell’attacco hacker in termini di cyberwarfare. Tradizionalmente queste attività hanno l’obiettivo di creare problemi alle reti straniere, boicottarle o rubare informazioni. Non rubare denaro, piccole somme, peraltro da attori non istituzionali. Diversi analisti, infatti, pensano che l’attacco con WannaCry sia avvenuto in due fasi, lanciate da soggetti diversi. La prima, che ha visto protagonisti hacker singoli o gruppi non molto esperti (da qui la presenza del kill switch). La seconda, invece, è stata condotta da grandi agglomerati del cybercrime, che hanno fiutato la possibilità di grandi guadagni. Sono elementi importanti in questo senso le successive varianti del ransomware, che non hanno il kill switch.

Gli 007 analizzano l’effettiva credibilità delle affermazioni degli Shadow Brokers

Nel post dei Digital Broker, comunque, c’è un elemento strano: il riferimento al leak di informazioni sui programmi nucleari e balistici della Corea del Nord. È un fatto ampiamente risaputo che da tempo Pyongyang ha scollegato da internet i suoi network critici. Specialmente quelli legati ai programmi strategici. Tanto che per far fallire il lancio di un razzo, recentemente hacker stranieri hanno dovuto far installare manualmente malware nei sistemi (tramite chiavetta USB o hard disk esterno). Perciò, non si capisce come i Digital Brokers potrebbero scaricare i dati del regime di Kim Jong-un, a meno di essere in loco. L’elemento, infatti, è fonte di approfondimento delle intelligence che cercano di scoprire l’effettiva credibilità delle affermazioni e del gruppo di hacker stesso.