Oggi è un giorno importante per la cybersecurity perchè la controffensiva dell’FBI contro la cybergang REvil ha avuto successo e il gruppo si è sciolto.
C’è un’ottimo articolo di DDay che mi sento di consigliare per comprendere un po’ più nel dettaglio cosa sia successo ma la parte da cui voglio partire è la seguente.
L’FBI è riuscita a ottenere una chiave di decrittazione universale che avrebbe permesso di sbloccare i sistemi di Kaseya sotto attacco. L’FBI ha invece tenuto la chiave per sé osservando i movimenti del gruppo REvil e attaccandolo subdolamente.
Fonte: DDay
Qualche giorno fa, durante una lezione ai ragazzi della Sapienza di Roma, si rifletteva sul fatto che ci si trova davanti a delle vere e proprie associazioni a delinquere e non a degli scappati di casa. Questo impone, da parte degli organi inquirenti, cautela e lentezza nei movimenti per far si che tutte le operazioni di intercettazione possano andare a buon fine. Si pensi all’importanza del ritrovamento di una chiave di decrittazione universale che potrebbe risolvere il problema di migliaia di aziende infettate dal ransomware di REvil ma che deve rimanere taciuta per perseguire un obiettivo più grande. Sono scelte complesse, impopolari, difficili, che hanno ripercussioni sull’economia di molti soggetti colpiti ma che devono esser prese senza troppa esitazione.
L’attesa dell’FBI è probabilmente servita per tracciare con più precisione tutti i membri del gruppo REvil che si sono collegati al sito mentre il Bureau ne osservava le mosse.
Fonte: DDay
Come non essere quindi d’accordo con la conclusione che l’editoriale DDay trae verso la fine del suo articolo. REvil ha obbligato il Federal Bureau a mettere in atto una strategia di medio-lungo periodo per poter sgominare una banda che, tuttavia, potrebbe risorgere sotto altre vesti. In realtà ora viene il momento cruciale dell’operazione perchè di REvil fanno parte molte persone tra cui il famoso Unknown e l’altrettanto famoso 0_neday. In particolare quest’ultimo ha riportato su un forum:
Il server è stato compromesso, e mi stavano cercando. Buona fortuna a tutti; me ne vado.
Fonte: DDay
È la ricerca il momento più importante, perchè se questi soggetti non vengono arrestati nel numero più alto possibile, c’è il rischio che il gruppo risorga più organizzato di prima. Per l’FBI si tratta di una sfida che può esser vinta solo grazie alla collaborazione con altri istituti di polizia quali EUROPOL e le polizie locali. Si tratta, in un certo senso, di una collaborazione globale su vasta scala per un’operazione da miliardi di dollari (considerando il valore dei BitCoin e i riscatti pagati).
Lo scenario globale
E mentre continuano quindi le ricerche dei singoli appartenenti alla cybergang, l’America procede spedita e ha escluso Russia e Cina da un evento di qualche giorno fa di grande rilevanza: un summit virtuale contro gli attacchi hacker ransomware. A riportare la notizia è il Corriere della Sera in un articolo che potrebbe essere interamente condensato in una frase.
La Russia non è uno dei 30 paesi invitati al summit virtuale contro gli attacchi hacker ransomware.
Fonte: Corriere della Sera
La condizione di tensione tra USA e Russia in merito ai Ransomware si sta mostrando chiaramente da mesi ormai, da quando al G7 del 2021 fu chiesto alla Russia di ostacolare gli attacchi che partivano (o avevano base) sul suo territorio. Ciò non è stato fatto, o non ha portato risultati apprezzabili.
Il gruppo delle sette nazioni più ricche del mondo ha chiesto alla Russia di agire contro gli autori di cyber attacchi e ransomware partiti dal suo territorio, “per identificare, ostacolare e considerare responsabili tutti coloro che dai proprio confini lanciano attacchi ransomware, abusano della valuta virtuale per riciclare i riscatti e commettono altri crimini informatici”.
Fonte: Wired (link)
Non è stata invitata a questa riunione anche la Cina (ritenuta responsabile di numerosi attacchi, tra cui gli ultimi contro Microsoft) ed è quindi comprensibile e chiaro il messaggio che gli Stati Uniti stanno mandando al mondo. Ma l’esclusione di questi Paesi dai summit potrebbe essere, al contempo, un modo per forzare la mano ed ottenere le informazioni tanto agognate. La Russia, infatti, avrebbe fornito qualche informazione in merito ai diversi gruppi hacker ospitati sul suo territorio (tanto per citarne alcuni: Evil Corp., TrickBot e REvil) ma bisogna comprendere che lo scopo non è il lento rilascio di informazioni, bensì un contrasto attivo e fattivo per la salvaguardia degli interessi di tutti.