Esiste un cartello del ransomware? La risposta nella relazione Analyst1

Gli esperti della piattaforma di prevenzione delle minacce informatiche Analyst1 hanno pubblicato una relazione che analizza le bande del ransomware.

Avatar di Dario Oropallo

a cura di Dario Oropallo

Gli informatici e le crew che animano scena di sviluppo dei ransomware sono attivissime, tanto da continuare a colpire un OS obsoleto (ma diffuso) come Windows XP, e da spingere le aziende leader dell'hardware, come Intel, a implementare sistemi di rilevamento automatici nelle loro CPU business.

Analyst1, piattaforma progettata da esperti di minacce informatiche che offre analisi su scala aziendale sulle principali minacce online, ha diffuso una relazione che analizza i rapporti tra le crew che creano e diffondono ransomware. Il report, il cui emblematico nome è "Ransom Mafia: Analisi del primo cartello del ransomware al mondo", è disponibile a questo indirizzo.

Secondo Jon DiMaggio, esperto di cyber-sicurezza, Chief Security Strategist per Analyst1 e curatore della relazione, alcune crew dietro la diffusione mondiale del ransomware avrebbero stabilito delle relazioni tra loro: pur mancando degli elementi che possano determinare la nascita di un vero e proprio cartello, questo essere "in combutta" le rafforza reciprocamente a danno degli utenti e contro la legge.

Le bande collaborerebbero soprattutto condividendo informazioni sulle loro vittime, privati o aziende, e sui dati che hanno rubato. Analyst1 ha identificato forti connessioni tra alcuni gruppi, rappresentandole nel grafico che potete vedere qui sotto.

Altre informazione degne di nota che emergono della relazione sono:

  • I dati delle vittime non sono l'unica cosa che queste bande affiliate si passano tra di loro. Sono state condivise anche alcune tattiche e strumenti: alcune realtà hanno condiviso "un pacchetto" di Ransomware-as-a-Service (RaaS) e le infrastrutture di comando e controllo (C&C);
  • Stando ai payload di alcuni ransomware, sembra che alcune crew siano in procinto di automatizzare i loro attacchi. Si tratterebbe di un cambio di passo importante, se si considera che l'infettare manualmente le aziende è una nota caratteristica degli hacker che eseguono attacchi ransomware - una pratica nota come "big game hunting" (BGH);
  • Alcune crew avrebbero deciso di avvicinarsi ai media, rompendo il silenzio del passato. Non solo: questi gruppi pubblicano i propri comunicati stampa online e usano diversi mezzi per spingere le loro vittime a pagarli;
  • Alcune crew affermano di aver già costituito un cartello in passato;

Effettivamente le crew che Analyst1 racchiude sotto l'etichetta "Ransom Cartel" erano in passato nome come "Maze Cartel". Ma, da maggio 2020, la situazione dovrebbe aver assunto nuovi connotati. La crew che starebbe sostenendo quest'associazione con più veemenza pare essere la Twisted Spider.

La principale motivazione dell'associazione, esattamente come accade per le mafie, è il profitto. Alcuni di questi gruppi hanno sviluppato anche malware diversi dal ransomware, per diversificare le proprie fonti di guadagno - principalmente keylogger e trojan. Le principali gang, secondo Analyst1, sarebbero: la sopraccitata Twisted Spider, la Viking Spider, la Wizard Spider e la Lockbit Gang.

La maggior parte di queste crew avrebbe sede nell'Europa dell'Est: molte sono russofone, ma non tutte sono necessariamente russe. Tuttavia, secondo la relazione di Analyst1 i gruppi sembrerebbero essersi accordati per non colpire gli utenti che risiedono in Russia e nella Comunità degli Stati Indipendenti (CSI), un'organizzazione internazionale composta da nove delle quindici ex-repubbliche sovietiche (ne fanno parte, oltre alla Russia: Armenia, Azerbaigian, Bielorussia, Kazakistan, Kirghizistan, Moldavia, Tagikistan, Uzbekistan e, dal 2005, Turkmenistan).

Il report di Analyst1 si conclude affermando che, anche se c'è effettivamente fiducia e condivisione di risorse, pratiche e tattiche, le crew del ransomware non possono essere definite un cartello vero e proprio. Nello specifico, la relazione sottolinea come tra di esse manca uno degli elementi necessari per conseguire questo status: la condivisione dei profitti. In ogni caso, la miglior cura è la prevenzione: perciò ti suggeriamo di consultare la nostra guida ai migliori antivirus per scoprire come proteggere i tuoi device elettronici.

Sei ancora preoccupato per i tuoi device? Visita immediatamente Amazon: troverai tantissime software per prevenire attacchi ransomware e virus.
Leggi altri articoli