Per molto tempo, sono stati considerati quasi impossibili da catturare: Gli hacker che estorcono denaro alle loro vittime attraverso il ransomware. I successi investigativi della polizia contro REvil mostrano ora che la lotta contro il ransomware non è così senza speranza come sembra.
In realtà, gli “affiliati” sono definiti abbastanza chiaramente nella net economy. Gli “affiliati”, a volte chiamati anche “partner”, sono pubblicisti che indirizzano i loro lettori o visitatori del sito ai siti web degli inserzionisti tramite “link di affiliazione” e poi ricevono una commissione quando i lettori diventano clienti.
Gli affiliati sono partner pubblicitari gratuiti che non guadagnano soldi solo trasmettendo pubblicità, ma esclusivamente attraverso le commissioni. La redditività dei programmi di affiliazione varia molto. Alcuni sono eccellenti opportunità, specialmente per i grandi siti web, per fare soldi con il loro lavoro; altri, d’altra parte, rendono solo pochi spiccioli nel migliore dei casi.
Tra i programmi di affiliazione più redditizi che si trovano attualmente ci sono quelli degli operatori di ransomware come REvil. Per diversi anni, gli autori di ransomware non si sono preoccupati di portare il malware su altri sistemi da soli, ma si affidano agli affiliati per farlo.
Questi affiliati ricevono il software dagli hacker. Si infiltrano nei sistemi della vittima – a volte attraverso sofisticate tecnologie di hacking, a volte attraverso semplici e-mail di spam – e caricano il ransomware. Se la vittima poi paga, riceve una parte del ricavato, di solito il 70-80 per cento. Gli autori del ransomware, nel frattempo, possono mettersi comodi e guardare i soldi che arrivano.
Portafoglio da un milione di dollari confiscato da un affiliato
Recentemente, l’FBI degli Stati Uniti è andata a caccia di questi affiliati. In particolare, gli investigatori si sono messi sulle tracce di un cittadino russo, Aleksandr Sikerin, che risiede a San Pietroburgo
FBI Seizes Cryptocurrency Worth $2.3 Million From REvil Ransomware Group Affiliate | #malware | #ransomware#earegun
US law enforcement seized 39.9 Bitcoins from an Exodus wallet, worth approximately $2.3 million (roughly Rs. 17.3 crore) from a Russian citizen suspected of … pic.twitter.com/yyjGMQ4Y85
— Estiuck Al Regun (@earegun) December 6, 2021
L’FBI accusa Sikerin di aver ottenuto un accesso non autorizzato ad altri computer, installandovi il ransomware REvil e poi riciclando denaro. Sulla base di questa accusa, i funzionari hanno confiscato un portafoglio Exodus da Sikerin che conteneva 39,9 Bitcoin, o circa 2,3 milioni di dollari.
Sikerin, secondo l’atto d’accusa, è in parte responsabile degli attacchi ransomware che hanno portato al pagamento di riscatti per circa 200 milioni di dollari. In parte, questi pagamenti di riscatto possono essere collegati al portafoglio di Sikerin, che è ora sotto il controllo dell’FBI.
Esattamente come l’FBI sia riuscita a prendere possesso di “un portafoglio Exodus” non è ancora chiaro. Exodus è un portafoglio per computer desktop e dispositivi mobili. È stato o è sotto critica perché non tutte le parti del codice sono open source, ma è piuttosto improbabile che il portafoglio contenga una backdoor così estesa che il governo degli Stati Uniti può confiscare il denaro premendo un pulsante. Più probabile è l’accesso attraverso la confisca dei dispositivi o un hacking.
Uno sciopero internazionale contro REvil
Il portafoglio potrebbe anche aver fatto parte di un sequestro più ampio un mese fa. All’inizio di novembre, il Dipartimento di Giustizia degli Stati Uniti aveva accusato un ucraino e un russo di essere dietro uno dei peggiori attacchi ransomware contro gli americani.
In particolare, è stato l’attacco al fornitore di software Kaseya a luglio da parte del ransomware REvil. Poiché il suo software è in numerosi sistemi, l’attacco ha fatto il giro del mondo. Migliaia di aziende sono state colpite, tra cui, per esempio, tutti i koop in Svezia.
Supply chain attacks continue to have a widespread impact and this is an example of how deep they can go.
800 supermarkets closed because of their POS provider’s MSP’s software provider experiencing a ransomware attack.
= A mouthful of supply chain risk. https://t.co/EdtrZF6Z0U
— Sandeep Kumar (@deepsand) July 3, 2021
L’ucraino Yaroslav Vasinsky fu arrestato in Polonia nell’ottobre dello stesso anno. Lui e il suo collega russo Yevgeny Polynin sono accusati di essersi introdotti nei computer delle vittime e di aver installato il ransomware REvil. A differenza di Vasinskij, Polynin è ancora in libertà.
Nel corso di queste indagini, le autorità statunitensi hanno confiscato Bitcoin e Monero per un valore di più di sei milioni di dollari, che risalgono ai pagamenti dei riscatti. Oltre all’FBI, sono stati coinvolti anche Europol e altre agenzie di polizia.
Secondo Europol, altri due imputati sono stati arrestati in Romania all’inizio di novembre per aver distribuito il ransomware REvil, e i funzionari della Corea del Sud hanno confermato di aver arrestato tre sospetti. In totale, gli investigatori hanno perseguito 12 sospetti accusati di essere responsabili di attacchi ransomware in 71 paesi.
Non è un crimine perfetto però
Per molto tempo, il ransomware è stato considerato un “crimine perfetto” perché sembrava quasi impossibile rintracciare gli autori. Ora la marea sembra girare lentamente. Almeno i successi investigativi contro REvil parlano per questo.
Una ragione per questo potrebbe essere che gli hacker del ransomware sono andati troppo oltre. L’hacking di uno studio legale famoso era già una ragione sufficiente perché il governo degli Stati Uniti parlasse di “cyberterrorismo”; i continui attacchi alle amministrazioni cittadine, agli ospedali e alle università hanno probabilmente esaurito la pazienza delle autorità; l’hacking della Colonial Pipeline così come Kasey sono stati la goccia che ha fatto traboccare il vaso.
Bitcoin e Darknet stanno costringendo le forze dell’ordine di tutto il mondo a collaborare a livello sovranazionale. Lo sappiamo già dai successi a volte spettacolari contro i marketplace della darknet. Ora la polizia sta usando costantemente le risorse e le competenze che ha costruito in questo processo nella lotta contro il ransomware.
Inoltre, anche un cambiamento di strategia sembra promettente. Kimberly Goody, direttore della società di sicurezza Mandiant, ha spiegato che potrebbe essere più promettente agire contro gli affiliati che contro il nucleo della banda del ransomware. Questo perché non solo gli affiliati sono più vicini alla scena del crimine – loro, non gli autori del ransomware, violano i computer – ma sono spesso meno attenti e “le loro competenze sono più richieste del software di crittografia”. Alcuni affiliati lavorano anche per più bande. Quindi potrebbe essere che non sono tanto gli sviluppatori di software ma gli affiliati che sono i colli di bottiglia dell’economia del ransomware.
In effetti, sembra difficile arrivare ai creatori del software stesso. I creatori di REvil si sono già ritirati in estate dopo che Colonial Pipeline è stata violata. Presumibilmente si sono resi conto che una linea era stata superata con questo.
