Più bande di cyber criminali che lavorano in concorrenza per scatenare attacchi ransomware possono guadagnare molto. Ma se fanno cartello i profitti possono schizzare alle stelle. È probabilmente questa la filosofia che ha portato alcuni dei gruppi più temibili del panorama ransomware globale a unire le forze e a collaborare.

I gruppi in questione usano armi letali: Maze, LockBit e Ragnar Locker. Singolarmente abbiamo parlato di loro. Maze  è stato il primo a sottoporre le vittime a doppio ricatto. Uno per avere il decryptor con cui decifrare i dati bloccati, l'altro per non far divulgare le informazioni rubate.

LockBit è un ransomware-as-a-service. È sviluppato da un gruppo criminale che l'ha messo in vendita sottoforma di servizio, che gli affiliati usano cedendo agli sviluppatori parte dei riscatti incassati. Ragnar Locker opera all'interno di una macchina virtuale per bypassare i controlli di sicurezza. Blocca i processi attivi per crittografare tutti i file e cancella le copie shadow per impedirne il recupero.

Lavoravano come tre entità separate e concorrenti. Una caratteristica simile a tutti è che, prima di crittografare i file, ne fanno una copia, che viene usata come leva per indurre al pagamento del riscatto.

Qualche settimana fa qualcosa nelle dinamiche criminali è cambiato. Maze ha annunciato la collaborazione con LockBit, che ora può appoggiarsi alla piattaforma di pubblicazione dei dati rubati di Maze. I due gruppi condividono anche le strategie per mettere a segno attacchi di maggiore successo.

È stato l'inizio di un cartello di operazioni ransomware indipendenti e concorrenti. Maze aveva anche anticipato che il gruppo si sarebbe ulteriormente allargato. Di fatto ora è una triade, dato che è entrato in società anche Ragnar Locker.


La notizia è rimbalzata in rete con la pubblicazione sul sito Maze dei dati di una vittima di Ragnar Locker. Il cartello non è nemmeno fumantino, dato che i cyber criminali citano esplicitamente il termine.

Al momento non è chiara la dinamica collaborativa fra i tre gruppi. LockBit non possiede un sito in cui pubblica i dati rubati, quindi trae un beneficio da questa collaborazione. Ragnar Locker invece ne ha uno, quindi non è chiaro quale sia il suo tornaconto. Così come non è chiaro che cosa ne guadagni Maze. Potrebbe essere una percentuale sui profitti concorrenti, ma non ci sono al momento conferme al riguardo.

L'argomento di interesse non è questo. È il fatto che la cooperazione tra gruppi ransomware costituisce un altissimo pericolo per tutte le potenziali vittime. Finora i gruppi hanno lavorato come concorrenti, mettendo nelle loro azioni la sola esperienza personale dei componenti della banda. Condividere consigli, tattiche, e una piattaforma con altri gruppi potrebbe verosimilmente portare a mettere in atto attacchi più avanzati, con riscatti potenzialmente maggiori.