Il Dipartimento di Giustizia degli Stati Uniti ha annunciato una condanna a due anni di carcere nei confronti di un cittadino russo ritenuto coinvolto nella gestione di una botnet usata come piattaforma per attacchi ransomware contro aziende americane. Oltre alla pena detentiva è stata stabilita anche una multa di 100000 dollari.
Il caso richiama l’attenzione su un modello criminale ormai consolidato nel cybercrime moderno, in cui la compromissione iniziale dei sistemi viene industrializzata e rivenduta come servizio.
Secondo le informazioni disponibili, il soggetto avrebbe co-gestito tra il 2017 e il 2021 un gruppo noto con varie denominazioni, tra cui TA551, specializzato nella distribuzione di malware tramite campagne di spam. Il meccanismo era semplice ma efficace: email malevole con allegati infetti portavano alla compromissione dei computer delle vittime e alla costruzione di una rete di dispositivi controllati da remoto. Questa botnet veniva poi monetizzata vendendo accesso ai singoli host compromessi, trasformando ogni macchina in un punto di ingresso pronto per ulteriori attacchi.
Botnet come servizio e ruolo della backdoor
Un elemento centrale era la presenza di una backdoor, utile per caricare altri componenti dannosi sui sistemi infettati. In pratica la botnet funzionava come un servizio di initial access broker, cioè come fornitore di accessi iniziali a reti aziendali. Questo accesso veniva sfruttato da altri gruppi criminali per distribuire ransomware e avviare estorsioni.
Impatto economico e collaborazioni criminali
Tra agosto 2018 e dicembre 2019, l’accesso alla botnet sarebbe stato fornito a un gruppo ransomware collegato a BitPaymer, permettendo l’infezione di 72 aziende statunitensi. Le estorsioni avrebbero generato pagamenti per oltre 14.17 milioni di dollari. Successivamente anche operatori legati al malware IcedID avrebbero pagato oltre un milione di dollari per ottenere accesso e usare la stessa infrastruttura per distribuire ransomware, anche se l’impatto complessivo non è stato quantificato.
Tecniche di infezione osservate
Le analisi citano inoltre tecniche di phishing con archivi protetti da password e documenti Word con macro, usati come catena di infezione per installare ulteriori payload e arrivare a IcedID. In altri contesti TA551 è stata associata a collaborazioni con operatori di trojan e a servizi di distribuzione per famiglie ransomware diverse, soprattutto dopo la disgregazione o il takedown di altre botnet.