• Jordan Harrison / Unsplash

La banda di hacker più grande del mondo è scomparsa da Internet

L'evento accade il giorno prima che i funzionari statunitensi e russi si incontrino per parlare della crisi tra i due paesi provocata dalla campagna di ransomware.

Una delle gang di ransomware più prolifiche a livello globale ha abbandonato Internet. L'inspiegabile esodo arriva solo un giorno prima che gli alti funzionari della Casa Bianca e della Russia si incontrino per discutere della crisi globale del ransomware. Il gruppo di hacker noto come REvil si muove da anni nel sottobosco del crimine informatico. Ben il 42 per cento di tutti i recenti attacchi ransomware risale a questa banda, ma quelli che hanno attirato di più l’attenzione dell’opinione pubblica sono due. 

All'inizio di questo mese, la banda ha colpito almeno 1.000 aziende, attaccando la società di software Kaseya. È stata una delle più vaste campagne di ransomware mai condotte. E il mese scorso, REvil ha preso di mira il fornitore di carne JBS e ha chiesto il pagamento di 11 milioni di dollari. Anche se i leader mondiali hanno rivolto la loro attenzione al ransomware e alle forme di intervento possibili, REvil ha continuato sulla sua strada, fino ad ora.

"Stiamo cercando di capire cosa sta succedendo", afferma Allan Liska, analista senior delle minacce informatiche presso la società di sicurezza Recorded Future. "Nutriamo un moderato ottimismo sul fatto che una delle più grandi bande abbia deciso di abbandonare la scena". 

Ci sono alcune possibili spiegazioni per questa improvvisa rinuncia. In primo luogo, la banda stessa potrebbe aver scelto di ritirarsi perchè ha guadagnato abbastanza soldi o ha sentito troppa pressione. Gli Stati Uniti o i suoi alleati potrebbero averli portati offline con successo. Oppure il governo russo, sotto la pressione internazionale, potrebbe averli costretti a chiudere. La loro scomparsa potrebbe anche essere temporanea: molti criminali informatici fingono di "ritirarsi" prima di riapparire con nuove identità.

"Consigliamo di non trarre conclusioni immediate perché è troppo presto. Non dimentichiamo che REvil è una delle bande di ransomware più spietate e creative che abbiamo mai visto", afferma Ekram Ahmed, portavoce di Check Point Software.

"Non so cosa significhi, ma in ogni caso sono felice!" ha twittato Katie Nickels, direttore dell'intelligence presso l'azienda statunitense Red Canary. “Se si tratta di un intervento governativo, ben venga perché significa che stanno facendo qualcosa. Se lo hanno fatto di loro volontà, è ugualmente eccellente perché significa che hanno paura. È comunque importante ricordare che questa scomparsa non risolve il problema del ransomware".

Tutti i siti Web utilizzati dalla banda REvil, incluso quello in cui il gruppo pubblica i dati rubati, sono ora offline. Ancora più significativo, tuttavia, è che tutte le infrastrutture e i computer utilizzati dalla banda per condurre gli attacchi sono andati offline martedì mattina intorno alle 8:00, ora di Mosca, spiega Liska. Anche il portavoce del gruppo è rimasto inattivo per quasi una settimana.

REvil è un gruppo di lingua russa, il malware che scrivono evitano i computer russi e sono collegati ad altri gruppi che si ritiene siano all'interno della Russia. Dopo il massiccio attacco di questo mese, il segretario stampa della Casa Bianca Jen Psaki ha dichiarato: "Se il governo russo non può o non vuole agire contro gli attori criminali in Russia, ci riserviamo il diritto di agire con tutti i mezzi".

Con il vertice USA-Russia sul ransomware, sembra che i colloqui prenderanno una direzione diversa da quanto originariamente previsto. “Il tempismo è illuminante: subito dopo l'attacco di Kaseya e poco prima del summit di domani", dice Liska. "Hanno appena condotto probabilmente il più grande attacco ransomware della storia. Passare da quel successo all’abbandono non può essere una semplice coincidenza”.

(rp)