Quattro gruppi criminali - Twisted Spider, Viking Spider, Wizard Spider e Lockbit Gang - hanno annunciato in momenti diversi durante l'estate 2020 che avrebbero lavorato insieme, ma hanno dato pochi altri dettagli in merito.  

In un rapporto di quasi 60 pagine, Jon Dimaggio, un ex dirigente per la National Security Agency (NSA) e ora capo stratega di sicurezza presso la società di intelligence Analyst1, ha indagato se i gruppi avessero effettivamente unito le forze. Mentre documentava le varie tecniche utilizzate, dalla violazione e cross-posting di dati, alle tecniche di condivisione, non ha mai notato alcuna condivisione delle entrate o coordinamento tra i gruppi, dice. 

"Se andate a cercare la definizione di cartello, l'unico tema trainante è l’unione di più organizzazioni che lavorano insieme e condividono i profitti", dice Dimaggio. "Quello che non ho mai visto, nemmeno una volta, è una gang di questo tipo che condivide profitti con un'altra gang. Alla fine, possono definirsi un cartello, ma non penso che lo siano veramente." 

Il rapporto approfondisce i dettagli contorti dello scorso anno, un periodo durante il quale gli attacchi di ransomware sono raddoppiati.  

Nel maggio 2020, Twisted Spider ha annunciato di essersi unito al gruppo Lockbit per formare un cartello e "condividere la loro esperienza e la piattaforma dei dati trafugati”. 

Eppure, i gruppi condividevano solo i siti nei quali venivano pubblicate le informazioni trafugate dalle vittime, secondo il rapporto Analyst1. 

"Per poter essere un vero cartello, ci dovrebbe essere più collaborazione, risorse e condivisione tattica tra i gruppi", afferma il rapporto. "Il Profit-sharing è l'elemento primario mancante nella coalizione di questi hacker. I cartelli sono pericolosi a causa delle grandi risorse finanziarie che il profit-sharing fornisce." 

In una certa misura, l'annuncio del cartello sembra essere un escamotage per attirare l'attenzione dei media. Tutti e quattro i gruppi, dopo un attacco, si mettono in contatto con i giornalisti rilasciando informazioni sui databreach per mettere pressione sulle vittime inducendole così a pagare il riscatto. In particolare, se una società si rifiuta di pagare, Twisted Spider pubblica comunicati stampa che mettono al pubblico ludibrio la vittima, e Viking Spider - che le contagia le con Ragnar Locker - utilizza annunci di Facebook e un vero e proprio "muro della vergogna."  

“Nonostante la scarsa collaborazione tra i gruppi non sembra costituire una minaccia, le gang stanno diventando sempre più pericolose reinvestendo le loro entrate per migliorare le operazioni di ransomware. Ciò include l'incremento delle operazioni automatizzate e l’aggiornamento regolare di malware con funzionalità sempre più avanzate – entrambe queste caratteristiche rendono i gruppi di hacker molto più pericolosi" dice Dimaggio.  

Wizard Spider, il gruppo più esperto e comunemente associato a Trickbot e al ransomware Ryuk, ha creato un sistema automatizzato per infettare e aggiornare i propri prodotti creando una botnet estremamente pericolosa. Anche se la maggior parte degli attacchi ransomware richiede diversi giorni o settimane dalla compromissione iniziale fino all’avvio effettivo del ransomware, questa automazione richiedere addirittura solo poche ore.  

In conclusione, possiamo affermare che non esistono fatti che sostengano la tesi del cartello, e pare essere solo una trovata pubblicitaria, ma questo non può diminuire il livello di attenzione su questi gruppi che stanno dimostrandosi ogni giorno più agguerriti e pericolosi. 

Tweet