Si può realmente sgominare una cyber-gang?

La storia insegna che si può fare, ma il percorso è lungo e irto di ostacoli. Se ci limitassimo all’ultima vicenda che riguarda LockBit e i suoi attacchi ransomware, potremmo parlare di una battaglia apparentemente (occorrerà vedere e comprendere le prossime mosse) persa. Ma ci sono dei precedenti che lasciano ben sperare, anche se occorrerà procedere seguendo un principio di cooperazione, visto che le attività cyber-criminali non hanno una geografia certa e definita. Sgominare una cyber-gang è un compito arduo per molti fattori e l’evoluzione tecnologica è un “ostacolo” che rende il tutto ancor più indefinibile e indecifrabile.

LEGGI ANCHE > Come volevasi dimostrare: il mostro di LockBit è tornato

C’è un principio di base che getterebbe sale sul terreno delle attività dei cyber-criminali: se tute le aziende, pubbliche e private, seguissero pedissequamente tutte le operazioni e i comportamenti utili per evitare falle e bug, le organizzazioni non avrebbero lo spazio necessario per condurre i propri attacchi. Una vera e propria (purtroppo) utopia. Un sogno che sembra essere irraggiungibile, soprattutto guardando la situazione a livello globale. Manca una vera e propria educazione digitale diffusa. Manca una consapevolezza da parte dei singoli e delle moltitudini di utenti nelle loro decisioni in ambito “informatico”. Basti pensare alle password scelte per comprendere come ci sia ancora un’enorme sottovalutazione del problema.

Dalla cooperazione alle infrastrutture

Questa è la prevenzione a cui deve necessariamente seguire un pronto intervento. Seguire. Anzi, inseguire. Perché l’evoluzione tecnologica mette le agenzie dedicate (e non solo) sempre alla rincorsa di ciò che è già accaduto. La reazione (che non c’è sempre) è sempre figlia di una cattiva attività preliminare. Ed ecco che chi ha il compito di debellare le cyber-gang ha sempre il fiato corto. Il caso LockBit, in attesa di capire cosa accadrà, è l’emblema di quel che dovrebbe sempre accadere. Si parte da una cooperazione internazionale (proprio perché il digitale non ha una geografia con confini definiti) e si passa allo smantellamento delle infrastrutture utilizzate.

Due passaggi fondamentali che, però, non sempre portano allo smantellamento di un’organizzazione criminale. Perché ci possono essere degli arresti, come nell’ultimo caso, ma se l’erba cattiva è stata piantata, nuovi (ma anche vecchi) germogli sono pronti a crescere nuovamente. Si può agire sui flussi finanziari (bloccato, come in questa vicenda, i wallet cripto), ma non è sempre possibile cancellare tutto ciò che è stato sottratto. Perché i documenti rubati, come nel caso degli attacchi ransomware e dei successivi data breach, possono esser stati oggetto di backup al di fuori dell’infrastruttura stessa (come spiegato da LockBitSupp nel caso della Contea di Fulton).

LockBit e i suoi fratelli, sgominare una cyber-gang

Non tutto, però, è perduto. Se LockBit è riuscita a riorganizzare, in meno di una settimana, le sue attività, è altrettanto vero che la storia dei suoi “fratelli” racconta un altro punto di vista. Se LockBit ha subìto quello che, a oggi, sembra essere solamente un rallentamento, altre realtà cyber-criminali hanno pagato dazio. Pensiamo, per esempio, a REvil. Il gruppo agiva utilizzando l’omonimo ransomware e cedeva il proprio software a tutti gli affiliati. Dal 2019, per circa tre anni, ha seminato il panico con attacchi continui. Poi, nel gennaio del 2022, le autorità russe sono riuscite a individuare i vertici, arrestarli e smantellare la piattaforma. Da quel giorno, di REvil e delle sue attività non c’è stata più traccia.

Un discorso simile si può fare per un altro attore malevolo la cui esistenza è stata molto simile a quella di REvil e LockBit. Parliamo di Hive. Anche in questo caso si trattava di un RaaS (Ransomware-as-a-Service), con un fulcro centrale e una lunga serie di affiliati. L’intervento da parte dei Federali americani ha posto fine, nel 2023, a quell’attività criminale iniziata nel 2021. Da quel momento, nessun’altra rivendicazione è arrivata con quella firma. Un discorso simile a quello che si può fare per il gruppo ransomware Conti (che prese di mira più volte l’Italia): nati nel 2020, le loro attività sono andate gradualmente spegnendosi nel corso degli anni. La parola fine è arrivata nel 2022, quando vennero pubblicati una serie di messaggi interni che fecero auto-deflagrare il gruppo.

E ora, che succede?

Dunque, la storia insegna che sgominare una cyber-gang è possibile. Sia con attività di prevenzione/educazione, sia con interventi coordinati sia per via di tensioni interne che fanno implodere un progetto criminale in salsa digitale. Ma per ogni gruppo che muore ce ne sono altri che nascono seguendo gli stessi principi (o molto simili). Leggendo il report di Ransomfeed, sono moltissime le organizzazioni ransomware che ogni giorno prendono di mira aziende pubbliche e private. A gennaio sono stati segnalati 283 attacchi. A febbraio siamo già a quota 341.