I recenti attacchi ransomware di grande portata hanno fatto guadagnare al fenomeno un'attenzione mediatica e politica senza precedenti. Stati Uniti e altri Paesi occidentali hanno accusato Cina e Russia di essere in qualche modo colluse con le azioni criminali. Istituzioni governative come DOJ, FBI e Interpol hanno iniziato a paragonare gli attacchi ransomware agli atti terroristici.

Il primo risultato tangibile del polverone mediatico è stato lo scioglimento del gruppo DarkSide responsabile dell'attacco a Colonial Pipeline. I criminali che lo componevano non sono diventati onesti lavoratori, si sono semplicemente riorganizzati in un nuovo gruppo criminale: BlackMatter.

Il secondo risultato è che molti forum del dark web dopo Colonial Pipeline hanno vietato le discussioni e le transazioni ransomware sulle proprie piattaforme. L'auspicio era che quest'azione potesse penalizzare significativamente le capacità organizzative dei criminali informatici. Quello che si è ottenuto è l'esatto opposto: le discussioni si sono spostate su canali strettamente riservati e non più monitorabili da ricercatori e aziende di sicurezza informatica.

La verità è che fermare il ransomware sarà un'impresa quasi impossibile da portare a termine. Il ransomware è diventato la linfa vitale dell'economia del crimine informatico. Combatterlo significa ostacolare un mondo parallelo a quello che vediamo alla luce del sole, con aziende strutturate e personale specializzato che guadagna dai proventi illegali.

I gruppi di ransomware danno lavoro a diverse figure professionali:

• Il team di sviluppo compila programmi di crittografia dei file
• Il team dell'infrastruttura IT imposta e gestisce i siti di pagamento e di pubblicazione dei dati rubati
• Il team di vendita pubblicizza il servizio ransomware sui forum
• Il team PR e social media comunica con i giornalisti e pubblica messaggi su Twitter e annunci sui blog aziendali
• Il team di assistenza clienti negozia i pagamenti dei riscatti
• Appaltatori esterni, noti come affiliati, conducono concretamente l'attacco contro gli obiettivi: l'hacking, i movimenti laterale nelle reti delle vittime, la distribuzione del ransomware, eccetera. E incassano una percentuale del profitto.
• Appaltatori esterni noti come broker di accesso alla rete forniscono agli affiliati l'accesso alle reti target, dopo averle compromesse con Trojan,botneto attraverso credenziali rubate. I broker possono anche fornire informazioni sugli account rubati o di altro tipo che potrebbero aiutare nella fase di ricognizione del bersaglio.

Com'è facile comprendere, ci sono migliaia di persone che, direttamente o indirettamente, sono parte dell'ecosistema del crimine informatico e guadagnano denaro grazie al ransomware. Non c'è quindi da stupirsi se l'elenco delle figure coinvolte comprende anche gli investitori, che a volte sono stati-nazione, altre dei privati. Per non parlare degli addetti a ripulire il denaro incassato dai riscatti. Inoltre, nell'ambito dei rapporti professionali, sono comuni le partnership fra gruppi differenti. È per questo che si parla di una economia a sé stante che ricalca in tutto e per tutto quella del mondo legale.

Questo complesso sistema di intrecci e interessi si è andato a costituire nel corso degli anni, e dato che nulla avviene alla luce del sole, sarà molto difficile smantellarlo. Si potranno intaccare singoli elementi, come esponenti di un singolo gruppo, ma spazzare via tutto è un altro paio di maniche.

Colonial Pipeline: la svolta con il rovescio della medaglia

Finora solo l'attacco a Colonial Pipeline è riuscito a smuovere qualcosa nel dark web. L'attenzione mediatica che ha attirato ha messo a rischio l'intero settore, imponendo immediate misure compensative. Gli addetti di DarkSide si sono riciclati in un altro gruppo e hanno introdotto misure atte a limitare la portata dei cyber attacchi. L'iniziativa è stata copiata da REvil e altri gruppi: l'imperativo è volare basso finché le acque non si saranno calmate. È lo stesso spirito ad avere portato alla censura delle discussioni sui ransomware nei forum.

Peccato che per i buoni questa sia una vittoria di Pirro. Le aziende di sicurezza informatica, che avevano faticato per infiltrarsi nei forum del darkweb, sono in difficoltà. Il loro lavoro sul dark web era importante perché permetteva di conoscere in anticipo le tecniche e le armi che i criminali volevamo impiegare.

Ora le discussioni si sono spostate su gruppi privati su Telegram e Threema. In molti casi non sarà più possibile conoscere in anticipo nuove varianti di malware, nuove funzioni e nuove tattiche, fino a quando non verranno colpite le prime vittime.

Sui forum resta la parte di marketing: per un po' bisognerà accontentarsi. Nel frattempo i criminali informatici continueranno a costituire e sciogliere gruppi senza mai uscire dall'ecosistema, seguendo un modello efficiente in cui ogni due anni circa le persone cambiano gruppo e ruolo (per esempio da gestori a investitori) in modo da non essere facili preda della giustizia.