Quali sono le logiche e le motivazioni che spingono alla criminalità informatica e, in particolare, a dedicarsi agli attacchi ransomware? I ricercatori di Cisco Talos hanno esplorato questi temi contattando ed intervistando per diversi giorni, lo scorso settembre, un hacker ostile che si era presentato su Twtiter - con l'account @uhodiransomwar, poi bloccato - pubblicando informazioni private. E che era stato poi identificato come uno dei possibili operatori dietro gli attacchi via ransomware LockBit.

Dalle informazioni raccolte nelle conversazioni, i ricercatori ritengono che Aleks - questo il nome di fantasia dato all'hacker ostile - sia un trentenne russo che vive in Siberia e si dedica ad attacchi ransomware da qualche anno. Secondo quando ha raccontato, la sua specializzazione nel campo della cyber security è frutto di interesse ed approfondimenti personali. Gli ha comunque consentito di lavorare lecitamente nel campo dell'IT. Ma non con i risultati sperati.

Il salto al "lato oscuro" della cyber security sembra motivato, per Aleks, da una crescente insoddisfazione per i riconoscimenti ottenuti. Il mercato IT russo non sembra essere stato in grado di remunerarlo in maniera per lui adeguata. Inoltre, Aleks racconta di aver segnalato diverse falle riscontrate in siti e servizi web russi, senza che queste segnalazioni venissero prese in considerazione e le falle risolte. L'insoddisfazione personale e la volontà di rivalersi sul poco interesse delle aziende verso la cyber security avrebbero portato Aleks a dedicarsi al crimine informatico.
Gli attacchi ransomware sono stati scelti perché sono una forma di attacco semplice, al limite anche as-a-Service, e remunerativa. Secondo Aleks le aziende dell'Unione Europea e statunitensi sono i bersagli migliori perché preferiscono pagare subito per riavere i propri dati, piuttosto che sottostare alle penali ed ai danni di immagine derivanti da normative come il GDPR.

Aleks ha anche illustrato alcuni aspetti della sua attività che confermano quello che tutti gli esperti di cyber security predicano da tempo: i "cattivi" hanno successo perché riescono ad essere più preparati, informati e reattivi dei "buoni". Soprattutto, restano costantemente aggiornati sulle vulnerabilità software scoperte dai ricercatori e si organizzano per sfruttarle immediatamente. Sanno di dover essere più veloci delle attività di patching che risolveranno quelle falle.

Inoltre, Aleks ha descritto un modus operandi che rispecchia quello rilevato e ipotizzato dai ricercatori. Prima una ricerca di informazioni sulla rete e sui sistemi da attaccare, poi attività di scan della rete-bersaglio usando server virtuali attivati su cloud provider russi (che non rispondono ad eventuali richieste di disattivazione), infine la penetrazione nella rete usando se possibile account o nodi già compromessi (i cui dati sono ricavati nel Dark Web).

I ricercatori di Cisco Talos hanno sintetizzato gli elementi chiave dei dialoghi con Aleks in un documento piuttosto esteso, liberamente scaricabile a questo link (o da questa pagina).