Il mondo del crimine informatico è oggi popolato essenzialmente da gruppi organizzati, che hanno messo ai margini quei soggetti abituati ad operare in autonomia. Negli ultimi anni, si è sentito parlare, infatti, di LockBit, BlackCat, Conti, Fog, Medusa, Play, Black Basta, Ragnar Locker, Hive, Medusa Locker, Ransomhub e molte altre. Sono note come cybergang, strutturate in modo più o meno articolato a seconda degli obiettivi e delle risorse disponibili.
In genere, però, hanno finalità di lucro e sono caratterizzate da una struttura gerarchica con uno o più leader che stabiliscono la direzione da seguire ed assegnano i compiti ad una serie di settori o figure specifiche. Tra queste, esistono i programmatori, che sviluppano i software malevoli, e diversi tipi di specialisti, che possono andare da quelli dedicati alla configurazione e alla manutenzione di reti e sistemi informatici, a quelli abili nella raccolta ed estrazione delle informazioni utili a scegliere gli obiettivi da attaccare, fino a quelli particolarmente efficaci nelle strategie di manipolazione delle persone.
Nel completamento di un quadro simile, a suo modo, ad un’azienda informatica tradizionale, sono spesso presenti anche le figure destinate al reclutamento di nuovi membri e quelle che si occupano dei pagamenti dei diversi componenti, come se fossero autentici dipendenti dell’organizzazione. Le gang assumono dimensioni e numeri variabili nel corso del tempo, difficili da seguire con assoluta precisione per la presenza di membri che si spostano da un gruppo all’altro o che collaborano contemporaneamente con più di uno, mentre le tecnologie impiegate sono mirate alla tutela dell’anonimato e alla fuga dalle forze dell’ordine.
A tal fine, le comunicazioni interne ad un collettivo – dove generalmente i componenti si conoscono solo tramite pseudonimo e non di persona – avvengono tramite canali cifrati, quindi non sono leggibili a chi non conosce la chiave di decifratura, sfruttando anche linguaggi in codice. Russia, Cina, Corea del Nord e Iran sono tra i più prolifici in termini di “produzione” di cybergang, autrici di attacchi che sembrano colpire soprattutto Stati Uniti e Regno Unito, ma che purtroppo vedono l’Italia da tempo tra gli obiettivi più facili da perforare.
Benché non siano mancate le iniziative di successo condotte da FBI ed Europol, con la collaborazione delle forze dell’ordine di diversi Paesi, le soluzioni tecniche utilizzate nonché la resilienza che caratterizza le gang rendono complessa l’identificazione dei componenti e più facile il blocco dei soli sistemi informatici. Quest’azione è importante ma non definitiva, come dimostra ad esempio la storia del collettivo LockBit, accusato di aver estorto oltre 500 milioni di dollari e aver causato danni per miliardi. Il gruppo già più volte ha visto le proprie infrastrutture e di conseguenza le attività fermate dal blocco giudiziario.
Nonostante questo, dopo un periodo di assenza dalle scene, è sempre stato in grado di riorganizzarsi e tornare ad essere pericoloso, al punto che oggi si parla di LockBit 4.0.
Al prossimo appuntamento, per scoprire come il fattore umano sia vulnerabile di fronte agli attacchi informatici!
Articolo a cura di Samantha Cosentino e Davide Sardi
Gli autori possono anche essere seguiti sul canale WhatsApp “TG Cyber”, che fornisce, con un linguaggio semplice e alla portata di tutti, notizie, consigli e brevi spunti in tema di cybersecurity, protezione dei dati e utilizzo consapevole degli strumenti digitali.