All'inizio di maggio, un gruppo di hacker chiamato “Darkside” ha lanciato un attacco ransomware contro la Colonial Pipeline Company, che fornisce circa metà del carburante destinato alla costa orientale degli Stati Uniti. 

Dal momento che gli effetti dell’attacco hanno continuato ad aumentare, la società ha deciso di chiudere l'oleodotto. Ciò ha portato a un picco del prezzo della benzina e a svariati giorni di carenza di carburante. Il presidente Joe Biden ha dichiarato lo stato di emergenza. Darkside si è portato a casa un riscatto di cinque milioni di dollari, ma l’aver ricevuto il pagamento sembra aver avuto conseguenze. Il 14 maggio, il sito di Darkside è andato giù e il gruppo ha detto di aver perso l'accesso a molti dei suoi strumenti di comunicazione e di pagamento.  

Darkside fornisce il suo ransomware come servizio RaaS, il che significa che in realtà non è il gruppo stesso ad eseguire gli attacchi informatici. Fornisce agli hacker affiliati una serie di servizi, dalla gestione delle trattative fino alla coordinazione dei pagamenti. Il gruppo aveva un blog e un'interfaccia user-friendly dove gli hacker caricavano e pubblicavano informazioni rubate. Quando Darkside ha fatto il suo debutto sui forum di cybercrime in lingua russa, lo scorso agosto, l’annuncio di lancio sembrava quello di un’azienda tecnologica. "Abbiamo creato Darkside perché non abbiamo trovato il prodotto perfetto per noi," diceva l’annuncio. "Ora lo abbiamo." Hanno anche stabilito un prezzario decrescente che va dal 25 per cento per i riscatti da meno di mezzo milione di dollari, al 10 per cento per quelli dal valore di cinque milioni o più. 

Il “Ransomware come servizio” si è evoluto per accontentare una richiesta di elevata specializzazione. Un'operazione come l'attacco di Darkside contro la Colonial Pipeline inizia con un individuo o un team di hacker noti come "broker di accesso individuali" che penetrano la rete di una società bersaglio. A quel punto, attraverso movimenti laterali arrivano al controller di dominio, il server responsabile della sicurezza e l'accesso degli utenti e installa il codice ransomware lì. 

Una volta violati i server e congelati i sistemi informatici, gli hacker consegnano il tutto agli operatori di un team del ransomware-as-a-service che gestiscono il resto, compresa la determinazione del valore del riscatto, la comunicazione con le organizzazioni vittime e le modalità di pagamento. 

Il 10 maggio, Biden ha detto che l’U.S. intelligence crede che Darkside si trovi in Russia, anche se non vi è "alcuna prova". Come molti flussi di reddito nella criminalità informatica, il ransomware-as-a-service è in gran parte, anche se non del tutto, dominato da hacker di lingua russa con radici in Russia e in altri ex Stati sovietici.  

Le ragioni di questa situazione risalgono al crollo dell'Unione Sovietica, negli anni Novanta, quando ingegneri, programmatori e tecnici altamente competenti furono improvvisamente abbandonati. Decenni dopo, la storia non è cambiata molto: le giovani generazioni di russi hanno accesso a un'istruzione specializzata in fisica, informatica e matematica, ma hanno pochi sbocchi per realizzare questi talenti, almeno non come i programmatori della Silicon Valley. "E cosa vedono quando vanno online? Che è possibile, con le loro conoscenze e competenze, guadagnare milioni di dollari" ha detto Sergey Golovanov, il capo esperto di sicurezza presso Kaspersky Lab, una società di sicurezza informatica con sede a Mosca. "Un’alta percentuale di queste persone decide che vale la pena infrangere la legge." 

Una carriera di questo tipo può apparire ancora più allettante, dato che i rischi non sono alti, almeno se ci si concentra su obiettivi occidentali. Sebbene le forze dell'ordine russe organizzino periodicamente operazioni mirate ai criminali informatici, generalmente chiudono un occhio su coloro che usano la Russia come base per infiltrarsi nelle reti straniere. Se non ci sono vittime in territorio russo che possano presentarsi di persona a sporgere denuncia e a fornire le prove per un processo penale, allora non c'è molto da perseguire per le autorità. 

Per assicurarsi di non imbattersi in problemi sul loro territorio, la maggior parte dei siti ransomware-as-a-service vietano il targeting di aziende o istituzioni in Russia o all'interno del territorio dell'ex Unione Sovietica. "Gli hacker hanno una regola: non lavorano sul dominio .ru," ha affermato Golovanov.   

Ma c'è anche un altro motivo molto importante per cui i criminali informatici possono sentirsi relativamente liberi di operare dall'interno del territorio russo. I servizi di sicurezza russi vedono gli hacker che prendono di mira le società occidentali, i governi e gli individui, non come una minaccia, ma più come una risorsa. Nel 2014, l'F.B.I. ha incriminato un hacker russo di nome Evgeniy Bogachev per aver rubato centinaia di milioni di dollari da conti bancari in tutto il mondo; i procuratori americani hanno chiesto ai loro omologhi russi di collaborare. Invece di arrestare Bogachev, tuttavia, le autorità russe usarono le sue violazioni per cercare file ed e-mail su dispositivi appartenenti a dipendenti e appaltatori governativi negli Stati Uniti, Georgia e Turchia. 

Eppure, non è chiaro esattamente dove ricada l'attacco Darkside contro la Colonial Pipeline, o cosa intendesse Biden quando ha detto che la Russia "ha una certa responsabilità."  

"La Russia non ha nulla a che fare con ciò che è successo", ha detto il portavoce di Vladimir Putin, Dmitry Peskov. Ma le accuse di coinvolgimento russo in importanti operazioni di hacking sono diventate, a questo punto, all'ordine del giorno. Appena un mese fa, Biden ha sanzionato la Russia per la violazione di Solarwinds. 

"In Russia siamo abituati alle accuse di hacking contro tutto e tutti", ha detto ironicamente Lukatsky. 

Nel frattempo, i forum di cybercrime in lingua russa che storicamente funzionavano come mercato per Darkside, hanno bandito il gruppo dai loro portali. La parola "ransom' "è diventata pericolosa e tossica", ha scritto un amministratore, notando che l'ultima cosa che gli hacker criminali russi e i loro associati vogliono è creare problemi per il Cremlino. 

Il più grande pericolo del mercato ransomware è il risultato che ottiene. Nel caso dell'attacco di Darkside a Colonial Pipeline, quasi cinque milioni di dollari sono allo stesso tempo un grosso guadagno per criminali informatici e noccioline per la Colonial, rispetto a quanto sarebbe costato alla compagnia petrolifera (che guadagna più di un miliardo di dollari in entrate annuali) fermare ulteriormente le sue operazioni. Un'analisi eseguita da Elliptic, una società di sicurezza di criptovalute, ha scoperto che un portafoglio Bitcoin aperto da Darkside aveva ricevuto diciassette milioni e mezzo di dollari da marzo, tra cui il pagamento della Colonial Pipeline. "Il riscatto da 100 milioni di dollari sta arrivando, a meno che non sia già arrivato e non lo sappiamo", ha detto Mark Arena.  

Tweet