| Undefined
Il mondo del crimine informatico è in continua evoluzione e negli ultimi anni, - con la curva della transizione digitale in vertiginosa ascesa a causa della pandemia – la fisionomia delle bande di cyber criminali si è modificata andando verso una centralizzazione delle attività e la creazione di organizzazioni ampie e strutturate, che possono ormai essere definite a tutti gli effetti organizzazioni criminali.
Si tratta di un fenomeno globale e in costante aumento complice la situazione geopolitica che stiamo attraversando nell’ultimo biennio tra Pandemia e conflitto Russo – Ucraino, e l’impossibilità, spesso, di perseguire crimini che sono di tipo transnazionale.
La specificità dell’evoluzione di queste gang è che essenzialmente espandono l’attività criminosa fisica (estorsione, riciclaggio e furto) nel mondo digitale.
Non parliamo quindi di attivisti, né del famigerato anonymous, che mantiene la sua non-struttura di collettivo anarchico, ma di vere e proprie organizzazioni criminali per le quali la rete è solo un ulteriore - e forse il più lucroso - canale di guadagno.
Le maggiori cyber gang vengono identificate attraverso i loro attacchi, che per lo più sono di tipo ramsomware, sferrati ad istituzioni di alto profilo dislocate ovunque nel mondo.
Vediamo ora nel dettaglio quali sono i gruppi noti più pericolosi.
Conti/Ryuk: Cyber Gang specializzata in attacchi ransomware per finalità estorsive, è considerata una delle più spietate a tal punto da attaccare, durante la pandemia, le istituzioni sanitarie in Irlanda e Nuova Zelanda. Oggi il gruppo Conti è forse la più famosa cyber gang è: un organico di oltre 100 persone e un salario mensile che va dai 5.000 ai 10.000 dollari, per un totale di 180 milioni di dollari, guidato da una solida struttura organizzativa e gestionale di lingua russa. Il nome deriva da una variante ransomware chiamata proprio “Conti”, che appare a luglio 2020, il cui codice è basato sul codice di Ryuk usato per attacchi a varie istituzioni. Allo scoppio della guerra tra Ucraina e Russia il gruppo Conti ha preso espressamente posizione a favore di quest’ultima dichiarando non solo che non avrebbe attaccato obiettivi russi ma che anzi avrebbe difeso la Russia da eventuali attacchi informatici provenienti dall’estero. Grazie ad un ricercatore informatico ucraino capace di infiltrare il gruppo Conti, sono stati resi pubblici diversi file e materiale interno appartenenti al gruppo e ciò ha permesso di ottenere molte più informazioni sulle strategie, gli strumenti e la struttura organizzativa di questa Cyber Gang; tuttavia nonostante i dati trapelati le attività criminali di Conti non sembrano averne risentito.
REvil: questo gruppo è attivo dal 2019 e ha raggiunto l’apice della sua attività criminale tra il 2020 e il 2021; specializzato in attività estorsive tramite strumenti di ransomware, i membri del gruppo ricevevano una percentuale del bottino sottratto per ogni cyber attacco andato a buon fine. Verso la fine del 2021 questa Cyber Gang è stata smantellata grazie ad un’operazione congiunta delle autorità di Stati Uniti ed Unione Europea che ha portato all’arresto di alcuni suoi membri.
Tuttavia già ad Aprile 2022 alcuni siti utilizzati dagli affiliati di ReVil sono stati riaperti, un fatto che potrebbe indicare una possibile ripresa delle loro attività criminali.
Lockbit 2.0: gruppo di cyber criminali che ha effettuato vari attacchi informatici in diversi paesi tra cui, Regno Unito, Cile, Taiwan e l’Italia; nel 2022 sono state 23 le aziende colpite nel nostro paese da Lockbit2.0. Una volta attaccata la vittima i membri della Cyber gang pubblicano all’interno di un sito, raggiungibile mediante rete Tor, un conto alla rovescia per il pagamento del riscatto e la minaccia di pubblicare tutti i dati rubati.
DarkSide: cyber gang che a suo dire agisce seguendo un proprio “codice etico” con la promessa ad esempio di non prendere di mira infrastrutture nazionali; per rafforzare questa reputazione ha anche provato a donare in beneficenza parte dei sui guadagni. Ciò nonostante nel 2021 è balzata agli onori della cronaca per l’attacco informatico sferrato contro la Colonial Pipeline interrompendo la fornitura di petrolio alla costa orientale degli Stati Uniti.
Questi gruppi di criminali informatici stanno adottando mezzi e tecniche sempre più sofisticate da essere in alcuni casi utilizzati dagli stessi Stati come strumenti per azioni di Spionaggio internazionale e vere e proprie operazioni di Cyber Guerra; è il caso, ad esempio, di Cozy Bear.
A dispetto del nome innocuo (Orsacchiotto) Cozy Bear è una organizzazione attiva del 2008, sponsorizzata dalla Russia, autrice di diversi attacchi informatici tra cui ricordiamo quello contro il Pentagono nel 2015 e contro varie realtà operanti nel settore governativo, militare e tecnologico sfruttando in un attacco supply-chain la precedente compromissione dell’azienda SolarWinds e del suo prodotto, di cui ci eravamo già occupati in un precedente articolo ( https://cloud/it/articles/show/44), fatti che fanno di Cozy Bear uno dei gruppi più pericoloso e temuto al mondo.
Francesco Nonni @ F3RM1 Foundation