Continuano a far parlare di sé i cybercriminali di REvil.
Come se non fossero bastati l’attacco alla JBS ed alla Kaseya a far guadagnare notorietà globale alla cyber gang, la loro improvvisa scomparsa ha suscitato dubbi e perplessità tra gli analisti. Per arrivare alla sparizione bisogna aver chiaro cosa è successo con l’ultimo attacco. Un passo alla volta quindi.
Dopo l’ultimo eclatante colpo del ransomware REvil alla Kaseya il gruppo criminale ha alzato un polverone attirando l’attenzione di molti governi e rispettivi apparati di sicurezza.
L’attacco all’azienda americana ha fatto scalpore poiché avvenuto sfruttando una vulnerabilità sconosciuta, ovvero un “zero day” (chiamato così perché una volta scoperta la vulnerabilità i produttori del software hanno zero giorni per risolverla), in Kaseya VSA, un software di gestione per infrastrutture IT. Successivamente il ransomware si è diffuso a tutti i clienti dell’azienda americana, si tratta di più di un migliaio di aziende vittime, circa 1500. È un attacco alla supply chain che arriva fino agli utenti finali, un vero e proprio disastro.
Si parla di un attacco paragonabile a WannaCray e NotPetya per propagazione e danni causati, ma al contempo presenta i caratteri dell’attacco a SolarWinds per il modus operandi.
Oltre il danno prodotto è stato esorbitante il riscatto richiesto, circa 70 milioni di dollari, cifra talmente alta da far dubitare alcuni analisti della serietà del riscatto.
CHI È REVIL?
Il gruppo, il cui nome è l’unione delle parole “ransomware” ed “evil”, conosciuto anche come Sodinokibi, sembra essere diventato uno dei maggiori player del mondo del cybercrime.
La sigla pare essere relativamente nuova nel panorama criminale ma alcuni degli hacker che la compongono invece no. Infatti alcuni ricercatori hanno trovato dei collegamenti tra i creatori del malware REvil/Sodinokibi e gli autori del precedente ransomware GandCrab.
Gli artefici del ransomware GandCrab, di probabile origine russa, sono stati leader fino ad un paio di anni fa del mercato dei malware, tanto che Kaspersky stimava che nel 2019 il 40% del mercato dei ransomware fosse detenuto da GrandCrab.
GrandCrab, come ora anche REvil, è un ransomware as a service (RaaS), cioè un ransomware sviluppato da alcuni hacker che invece di usare direttamente il malware per attaccare un determinato sistema lo noleggiano ad altri cybercriminali che lo utilizzano per i loro scopi illeciti. Il meccanismo del ransomware consistete sostanzialmente nel crittografare i dati dei computer infettati per poi richiedere il pagamento di un riscatto, generalmente in Bitcoin, in cambio di uno strumento di decrittazione. Nel 2019 gli hacker ideatori di GrandCrab hanno chiuso baracca, annunciando il ritiro del loro prodotto dopo essere riusciti a guadagnare, a loro dire, circa 2 miliardi di dollari grazie ai riscatti pagati.
Dopo la chiusura di GrandCrab il ransomware REvil si è imposto come uno dei più importanti ransomware as a service. Dall’analisi delle tecniche di hacking e dalla comparazione del tipo di vittime dei due ransomware tuttavia è emerso che alcuni degli hacker di GrandCrab potrebbero essere adesso dietro REvil. Un ulteriore elemento che accredita questa ipotesi è l’area geografica di provenienza di REvil che, come per GrandCrab è l’area ex sovietica. Infatti una caratteristica di questo ransomware è che raccoglie le informazioni sulla macchina (nome utente, nome computer, dominio o gruppo di lavoro e legge lo spazio libero ed i volumi presenti) disinnescandosi qualora il layout della tastiera o la lingua del sistema corrispondano ad un paese ex-URSS o alla Siria. facendo così intuire l’area che i criminali intendono salvaguardare.
IL COLPO DI SCENA
Da martedì la banda di REvil sembra scomparsa: siti web, infrastrutture e computer riconducibili a questi cybercriminali sono offline. I motivi sono ignoti ma le ipotesi sono sostanzialmente tre.
Dopo il maxi riscatto richiesto alla Kaseya i criminali possono aver chiuso i battenti e deciso di sparire, tattica plausibile in quanto già usata dai criminali del gruppo dietro l’attacco a SolarWinds. Oppure le altre ipotesi vertono su un intervento esterno, come un intervento di forza fatto dagli Stati Uniti o da governi loro alleati (cosa poco probabile anche se una politica statunitense più reattiva in seguito agli attacchi cibernetici è effettivamente in pratica) oppure su pressioni dei Paesi benevoli con questi criminali, le attenzioni sono quindi per la Russia.
L’ipotesi dell’intervento di Putin nella sparizione della cyber gang è plausibile soprattutto se si osserva il dato temporale.
Venerdì 9 c’è stata una telefonata tra il presidente americano Biden e quello russo Putin, dove il presidente USA ha riportato chiaramente che si aspetta che i russi si impegnino a fermare gli attacchi hacker provenienti dal loro territorio affermando: “we expect them to act”. La chiusura di martedì è stata collegata quindi da alcuni analisti più a pressioni politiche che a forme di ritorsione specifiche da parte di qualche agenzia.
Difficile determinare al momento le vere motivazioni dietro questa spartizione, è molto probabile però che questa chiusura non sancirà la fine né del gruppo criminale (che potrebbe ritornare dietro nuove sigle) né tantomeno segna un punto di svolta nella lotta al cybercrime, ormai uno dei maggiori pericoli per le nostre società.
Articoli correlati
Tutto sul caso delle spie russe in Germania
Metalli, le sanzioni Usa sulla Russia favoriranno la Cina?
Mattarella elogia la Nato e picchia la Russia
Cosa combina la Russia in Niger?
