Spiare i pirati. Così le chat segrete degli hacker filorussi svelano qualcosa in più sul cybercrime

Può un gruppo hacker sovvertire la democrazia di un paese? Ci siamo andati molto vicino nel maggio del 2022 quando il collettivo di hacker filorusso, il famigerato Gruppo Conti, ha messo in ginocchio il Costa Rica. In poco tempo dei cybercriminali sono riusciti a violare ventisette siti governativi e bloccare l’intera attività del Paese centro americano, non era possibile nemmeno sdoganare le merci. A quel punto la richiesta di riscatto che il governo del Costa Rica decide di non pagare. Parte allora l’appello degli hacker al popolo del Costa Rica, “se non avete accesso ai servizi di base è colpa dei vostri governanti, scendete in piazza e chiedete di pagare il riscatto”. Non è la trama di un film alla War Games, è accaduto veramente. Tutto questo è stato possibile grazie ransomware molto sofisticati sviluppati da Conti. Ma chi si nasconde dietro questa organizzazione che, fino al 2022, era una delle strutture di cybercrime più potente al mondo? Era tutto avvolto nel mistero fino a quando non accade uno dei fatti più insoliti nel mondo del cybercrime, il Conti Leaks. Una gran quantità di dati segreti viene divulgata e messa in rete. Riusciamo ad entrare dentro una struttura criminale potentissima. Giuseppe Brando, responsabile dell’unità di ricerca e analisi delle minacce cyber di una nota multinazionale energetica italiana, insieme a Camilla Salini, criminologa e analista Cyber Threat Intelligence, ed a Marco di Costanzo, ricercatore di sicurezza nel team ICS CERT di Kaspersky, decidono di studiare tutto il materiale e renderlo fruibile al grande pubblico. «Come mai esistono tanti libri su come opera la Mafia e la Camorra, e non esiste niente sul cybercrime che non sia riservato agli addetti ai lavori?» racconta Giuseppe Brando, classe 1985, che abbiamo raggiunto per parlare del libro “Il ransomware nell’economia del cybercrime” (ed. Themis, 2023)

Ing. Brando, partiamo dall’inizio. Quando è stato sferrato il primo attacco ransomware nella storia?
Il primo attacco ransomware documentato nella storia è noto come il “Trojan AIDS” o “PC Cyborg”. Parliamo del 1989 quando un virus informatico mascherato da software educativo sull’AIDS, caricato all’interno di 20.000 floppy disk, fu spedito in novanta Paesi creando il caos tra coloro che lo avevano inserito all’interno del proprio PC. Questo cifrava i file sul disco rigido del computer dell’utente ma solamente dopo un certo numero di avvii del pc. A questo punto venivano cifrati i dati sul pc e all’utente appariva sul monitor la richiesta di rinnovare la licenza software pagando 189 dollari da spedire alla PC Cyborg Corporation presso un indirizzo postale a Panama. Non era proprio il massimo della praticità

Quanti sono gli attacchi ransomware che si registrano mediamente in Italia?
Il 2022 è stato uno degli anni più attivi nell’attività ransomware, con migliaia di ceppi di malware per la crittografia dei file che prendono di mira organizzazioni di tutte le dimensioni. Tuttavia, c’è stata una diminuzione dei profitti, le bande di ransomware hanno estorto alle vittime circa 456,8 milioni di dollari nel corso del 2022, rispetto al record di 765 milioni di dollari registrato nei due anni precedenti. (Chainalysis)

“Non è mai accaduto nella storia del cybercrime che un collettivo di hacker si schierasse con un governo”

Conosciamo molti dettagli sul collettivo hacker Gruppo Conti grazie al Conti Leaks. Come è stata possibile tale fuga di notizie?
Dobbiamo dire che nel mondo del cybercrimine è accaduto qualcosa che non ha precedenti. Appena scoppiata la guerra tra Russia e Ucraina, il gruppo Conti si schiera apertamente con il governo russo. Non è mai successa una cosa del genere, è come se da noi la Mafia appoggiasse le scelte del governo. Il collettivo Conti è composto non solo da russi ma da bielorussi, kazaki ed anche ucraini. È possibile che qualcuno all’interno di Conti non abbia apprezzato questa scelta politica nonostante poi sia stata ritrattata in parte.

E la Russia ha mai preso le distanza dal Gruppo Conti?
No, però intorno alla metà di gennaio del 2022, prima che scoppiasse la guerra, a seguito di una richiesta americana e dell’Interpol, hanno arrestato quattordici persone del gruppo “REvil” . Nelle case degli arrestati sono stati trovati molti contanti. È probabile che la Russia volesse farsi vedere attiva nel contrasto al cybercrimine.

Dai dati che avete analizzato avete trovato evidenze che dimostrano un rapporto tra i servizi segreti russi ed il Gruppo Conti?
Diciamo non in modo esplicito ma qualche sospetto si può insinuare. Ad esempio, in alcune chat, proprio prima che scoppiasse la guerra in Ucraina, si scrive espressamente di non compiere attacchi hacker verso aziende cinesi. Viene chiesto se l’interlocutore fosse dell’FSB (servizio federale per la sicurezza russo), la risposta è “non posso rispondere ma non è un’esercitazione”.

“Gli hackers del gruppo Conti conducevano una doppia vita”

Dal libro emerge come il Gruppo Conti fosse una vera attività aziendale con tanto di ufficio risorse umane. Qual era il profilo tipo del “dipendente”?
Chi aderiva al gruppo Conti era attratto da guadagni facili e veloci, soggetti che disprezzano la legge ma che svolgono doppi lavori. Molti pensano che siano studenti chiusi nelle camerette ventiquattrore al giorno con un pc, invece no. Molti di loro hanno una vita “normale”, durante il giorno vanno a lavorare in ufficio, la sera si dedicano al cybercrimine.

Quanto guadagnava un cybercriminale del Gruppo Conti?
Dipende dal livello e dal ruolo come in un’azienda. In genere il compenso varia tra i 1000 ed i 2000 dollari al mese. I contratti di solito sono a tempo determinato legato a progetti ed esistono premi di produzione in base ai risultati.

“Un hacker può guadagnare dai 1000 ai 2000 dollari al mese più molti benefit, come lavorare in un’azienda”

Mi ha colpito nel libro anche l’empatia. Ci sono chat dove una persona chiede un “permesso extra” per problemi familiari.
In realtà si ricevono anche delle multe se non si rispettano gli orari di lavoro. Non esiste il cartellino ma tutti gli hacker lavorano in streaming, quindi, non puoi far finta di essere collegato.

Esistono delle informazioni sbagliate che girano su Conti?
Spesso si confonde il Gruppo Conti con chi effettua materialmente gli hackeraggi. In realtà gli informatici di Conti creano l’infrastruttura ovvero gli strumenti per sferrare l’attacco, sviluppano malware e ransomware che poi vendono agli “affiliati” (mercenari) che noleggiano la struttura per sferrare l’attacco. Poi di solito è Conti che gestisce la trattativa del riscatto. Accade anche il contrario ovvero che Conti acquisti gli accessi. Mettiamo ad esempio che degli hacker abbiamo violato un’utenza di una banca o di un gruppo farmaceutico, possono vendere queste informazioni a Conti.

A che prezzo? C’è un listino prezzi?
Allora, i prezzi dei malware variano in base al tipo e a quanto sono sofisticati. Ad ogni modo i prezzi sono abbastanza bassi e si aggirano intorno ai 300 dollari. Ad oggi l’economia criminale è orientata più a noleggiare servizi e software anziché venderli, infatti parliamo di MaaS (Malare-as-a-Service) o RaaS (Ransomware-as-a-Service). I criminali informatici se ne servono per sferrare attacchi e compromettere le aziende, cedendo una parte dei profitti derivanti dal riscatto a chi l’ha sviluppato il virus informatico. Invece i prezzi degli accessi violati vengono valutati dai un broker e variano in base al tipo di accesso e all’importanza della società

Cosa intende per valutazioni?
Quando violano un’azienda fanno delle ricerche dei dati, cercano di capire numeri, bilanci, fatturati ma anche capire se l’azienda è assicurata contro gli attacchi informatici. Questa è un’informazione molto utile in fase di trattativa perché se l’azienda è assicurata non si media sul prezzo

Esiste anche una trattativa sul riscatto?
Dipende dal tipo di business. Quando attaccano ad esempio studi di commercialisti sanno benissimo che il 95% degli studi non ha backup o se li hanno, magari sono riusciti a cifrarli e quindi inutilizzabili. In quel caso non si tratta. Quando invece le informazioni rubate sono diciamo “meno sensibili” allora c’è una mediazione. Come per le vere aziende ci sono gli “sconti promozionali”. Abbiamo trovato chat dove si parla di scontistiche particolari, ad esempio, “se effettuati il pagamento entro tale giorno avrete un tot di sconto”.

Sappiamo quanto è stato il giro d’affari generato dal Gruppo Conti in quei due anni di attività?
Circa 200 milioni di dollari.

“I giornalisti svolgono un ruolo importante nella trattativa di riscatti ransomware”

Di tutto il materiale che avete analizzato, cosa l’ha colpita?
Il fatto che dalle chat emerge come alcuni giornalisti fossero al soldo del gruppo. In pratica una volta sferrato l’attacco all’azienda viene richiesto il riscatto. Per velocizzare le trattative, si facevano trapelare delle informazioni ai giornalisti che pubblicavano degli articoli che esponevano pubblicamente le aziende coinvolte. A quel punto, con tale pressione, era più facile concludere la trattativa.

Se sono le aziende i target tipo, perché gli hacker spesso violano anche i computer dei singoli utenti privati?
Perché tra i tools che si possono acquistare c’è la possibilità di inviare migliaia di e-mail di phishing contemporaneamente e quindi servono dei bots, un esercito di computer inconsapevoli utilizzati per sferrare attacchi. I bots sono altri pacchetti di servizi offerti dal gruppo Conti.

Ecco perché è frequente ricevere e-mail dove ci viene comunicato di aver vinto dei premi…
Magari fosse quello, ora sono molto più furbi. Le posso raccontare una storia che mi ha colpito analizzando il materiale?

Prego.
Il gruppo Conti aveva assunto non solo tecnici informatici ma anche chi sapeva parlare inglese per creare finti call center. In pratica veniva inviata una mail dove si ringraziava per aver attivato un abbonamento ad un costo mensile. Per disdire l’abbonamento si invitava a chiamare il call center, fasullo, che intascava i soldi della chiamata internazionale. In più, il finto operatore, guidava passo passo l’utente ignaro, su un finto sito per cancellare l’abbonamento quando, nel frattempo, venivano rubate tutte le informazioni sul computer, carte di credito, password etc.

“Utilizzare i bitcoin per le transazioni criminali, non garantisce l’anonimato”

Una volta si diceva “follow the money”. Per risalire ai mandanti bastava seguire i soldi, con i Bitcoin è impossibile
Non è vero come l’FBI ha dimostrato con l’hackeraggio alla Colonial Pipeline, il più grande sistema di oleodotti per prodotti petroliferi negli Stati Uniti. Gli hacker sono riusciti a bloccare il flusso di carburanti della costa est americana. Nonostante negli Stati Uniti sia vietato per legge pagare riscatti ransomware, a differenze dell’Italia, l’FBI ha autorizzato il pagamento perché erano riusciti a rintracciare alcuni portafogli Bitcoin utilizzati. Quello che gli hacker fanno è spezzettare il pagamento su vari portafogli fino a far perdere le tracce, come avviene nel mondo reale, utilizzare diversi conti correnti intestati a persone diverse. L’FBI ha capito quali erano i portafogli interessati, ha individuato la giurisdizione e quindi ha congelato i portafogli bitcoin recuperando il 50% della somma pagata.

Quindi i Bitcoin non garantiscono l’anonimato?
Non conosco l’identità di chi versa e di chi riceve i bitcoin, però se io so che ad un’azienda sono stati chiesti 100 bitcoin di riscatto e mi accorgo che sul suo portafoglio stanno transitando 100 bitcoin, qualche indizio posso averlo.

Ok. Mettiamo che decido di pagare il riscatto. Il Gruppo Conti è “etico”? Voglio dire, ho la certezza che gli hacker non facciano copie del materiale rubato?
Abbiamo trovato nelle chat dei link dove l’azienda rapinata, poteva scaricare una sorta di log che dimostrava che i file erano stati cancellati. Sappiamo, nel mondo informatico, che è facile creare file vuoti con gli stessi nomi ed avere l’illusione di averli cancellati. Quindi per rispondere alla domanda, non possiamo mettere la mano sul fuoco.

“Non possiamo escludere che esista un rapporto tra hacker e servizi di intelligence governativi”

La provoco. Possiamo sospettare che l’attività di hackeraggio di grosse aziende, possa far comodo ai servizi d’intelligence di un Paese estero?
Tecnicamente tutto è possibile. Gli hacker potrebbero mettere le informazioni estorte ad un’azienda su un server e condividerle con i servizi segreti. Se ci pensa bene, alla fine l’intelligence può trovarsi tra le mani informazioni sensibili senza essere minimamente coinvolto.

Ci sono prove che questa avvenga?
No, non abbiamo prove in merito. Nella Cyber Threat Intelligence lo spettro di responsabilità può essere attribuito ad uno Stato in merito ad un attacco a diversi livelli. Per esempio, “ignorato” quando il governo nazionale è a conoscenza degli attacchi di terze parti ma non è disposto a intraprendere alcuna azione ufficiale. “Incoraggiato” quando terze parti controllano e conducono l’attacco, ma il governo nazionale le incoraggia per una questione politica. “Coordinato” quando il governo nazionale coordina le terze parti che conducono gli attacchi, ad esempio suggerendo gli obiettivi. Infine, “Ordinato” quando il governo nazionale dirige le terzi parti al fine di condurre l’attacco per suo conto. Non siamo in grado di sapere se questo avvenga ma in base a quanto detto può essere una cosa plausibile visto che in questi anni si sono registrati solo una decina di arresti. Si potrebbe pensare che questi gruppi hacker siano appositamente lasciati liberi di operare se agiscono in un determinato modo.

Ed è il caso dell’attacco recente del collettivo cinese governativo Volt Typhoon che ha preso di mira gli Stati Uniti?
Sicuramente sì trattandosi di un gruppo che possiamo definire Advance Persistance Threat che opera dal 2021 e che sembra avere come obiettivo intenti di spionaggio. Possiamo farlo ricadere all’interno di un attacco ordinato e coordinato dallo Stato cinese

Accade spesso?
Giusto qualche giorno fa gli hacker cinesi hanno preso di mira il governo del Kenya visto che è un paese da loro sovvenzionato. La Cina ha interesse a tenere il governo kenyano sott’occhio.

Ora che il Gruppo Conti è stato smantellato cosa succede?
Si generano altri gruppi sotto forme diverse, molte persone che lavoravano per Conti possono spendere la reputazione come una sorta di brand e spuntare salari più alti, un po’ come avere buone referenze.

Come possiamo difenderci dai ransomware? Basta avere un buon firewall e antivirus?
Purtroppo, non basta, ci vuole consapevolezza, per questo abbiamo scritto questo libro. Non serve andare dai dipendenti e dire, “non aprite gli allegati”, bisogna far capire cosa succede ad un’azienda e le ripercussioni che può avere. In un mondo consapevole i cybercriminali hanno vita più difficile, speriamo di aver dato un contributo. I proventi derivanti la vendita del libro, infatti, vanno ad Informatici Senza Frontiere.