Trend Micro fa il punto sullo scenario criminale che ha preso il sopravvento nella lotta cyber, soprattutto dopo l’invasione dell’Ucraina
Il mondo digitale è in costante trasformazione e il sotterraneo del cybercrimine non fa eccezione. Un recente studio di Trend Micro ha fatto luce sulle significative trasformazioni in corso nella comunità di cybercriminali di lingua russa, spinte dall’incessante avanzata di nuove tecnologie, dal panorama in continua evoluzione dell’impresa criminale e dal profondo impatto dei cambiamenti sociali e geopolitici. Questo segmento particolare del mondo del cybercrimine, operante in numerosi territori, si distingue per le sue formidabili capacità, la sofisticazione dei suoi attacchi, l’ampiezza della sua distribuzione geografica dei bersagli e la diversità delle sue attività criminali. La sua preminenza nei principali eventi di cybercrimine consolida ulteriormente la sua posizione influente nel panorama globale delle minacce.
“La maturità avanzata, la sofisticazione e la leadership di pensiero mostrate dal sotterraneo di lingua russa hanno conseguenze di vasta portata” spiega Vladimir Kropotov, ricercatore di Trend Micro. “Gli sviluppi all’interno di questa comunità rimodellano direttamente la superficie di attacco e aumentano i rischi per le aziende, i governi e gli utenti Internet di tutti i giorni. Inoltre, le sue tattiche spesso servono da modello per i cybercriminali in altre regioni. Pertanto, acquisire una comprensione approfondita di queste tendenze in evoluzione è fondamentale per generare preziose informazioni sulle minacce informatiche, consentendo alle organizzazioni di rafforzare le proprie difese e proteggere efficacemente i propri beni”.
Lo scenario attuale
Diversi sviluppi chiave meritano attenzione, compresi i rischi maggiori posti dalle tecnologie emergenti, dai cambiamenti sociali e geopolitici e dall’espansione dei modelli di business criminali. La crescente disponibilità di informazioni di identificazione personale e dati biometrici, amplificata dall’intelligenza artificiale, ha permesso agli attori malintenzionati di fabbricare senza sforzo identità digitali rubate o false. Ciò rappresenta una minaccia significativa per le istituzioni finanziarie, le agenzie governative e varie piattaforme, compresi i social media, l’e-commerce, i servizi di messaggistica e i mass media. Anche le operazioni di cybercriminali si stanno diversificando, estendendo la loro portata a bersagli precedentemente meno comuni come le telecomunicazioni e i sistemi di segnalazione SS7. C’è una crescente enfasi sullo sfruttamento delle vulnerabilità nei dispositivi Internet of Things, nei dispositivi edge, nelle piattaforme mobili e nei router. “Una tendenza particolarmente preoccupante perché questo tipo di apparecchiatura spesso esula dall’ambito dei modelli di rischio aziendali tradizionali, portando i difensori a sottovalutare il potenziale danno derivante dalla loro compromissione” prosegue Kropotov.
“Inoltre, il ruolo e lo scopo dei servizi di hosting a prova di proiettile (BPH) stanno subendo una trasformazione. I servizi BPH tradizionali sono in declino, sostituiti da soluzioni più specializzate e su misura. La posizione fisica dell’infrastruttura di hosting è sempre più dettata dalla posizione delle vittime prese di mira, riflettendo le sfide della rimozione degli asset attraverso diversi confini geopolitici”.
Le sanzioni hanno innescato cambiamenti significativi nei flussi finanziari e nelle operazioni logistiche degli attori del sottobosco criminale, portando a un’impennata delle attività di rispedizione e alla più profonda integrazione di Bitcoin nell’economia di tutti i giorni. Allo stesso tempo, le imprese legittime stanno mostrando un maggiore interesse a utilizzare servizi finanziari grigi per mitigare l’impatto di queste interruzioni. “L’instabilità geopolitica ha anche messo a dura prova le relazioni e la fiducia tra gli attori di minacce in diversi paesi di lingua russa” prosegue Fyodor Yarochkin, anche lui ricercatore di Trend Micro. “I confini di ciò che è considerato crimine accettabile si sono notevolmente ampliati, con i cybercriminali che prendono sempre più di mira una gamma più ampia di regioni, settori critici, organizzazioni e tipi di asset che in precedenza erano off-limits. I cambiamenti nelle leggi locali, le nuove normative sulle fonti di reddito e le restrizioni di viaggio hanno spinto i cittadini comuni a trasferirsi, provocando una ridistribuzione geografica degli attori criminali originari dei paesi di lingua russa e l’emergere di nuovi crimini ciberfisici nelle loro nuove sedi”.
Cresce l’attivismo
La crescente polarizzazione delle società ha alimentato un aumento dell’attivismo informatico, mentre la convergenza di attori di minacce provenienti da diverse regioni e contesti linguistici, come criminali di lingua russa e cinese, ha favorito una cooperazione sinergica senza precedenti. Questa collaborazione include alleanze tra gruppi che sostengono interessi di stato-nazione, impegnati nello spionaggio mirato, e coloro che sono coinvolti in attività di cybercriminali tradizionali. Un allineamento più profondo con gli interessi del governo sta diventando sempre più evidente all’interno del sottobosco criminale. Alcuni gruppi stanno sfruttando le loro affiliazioni nazionali per proteggere i loro modelli di business in tempi di conflitto, inquadrando gli attacchi ransomware, ad esempio, come quelli contro le infrastrutture critiche nemiche. “I confini tra gruppi criminali e di stato-nazione si stanno offuscando, con questi ultimi che sfruttano sempre più l’ecosistema per raggiungere i loro obiettivi” le parole di Yarochkin. “In alcune missioni sponsorizzate dallo stato, l’identità del perpetratore diventa meno importante del risultato dell’attacco, portando a un aumento di attori sostenuti che manipolano gruppi di cybercriminali e attivisti informatici simpatizzanti per realizzare obiettivi allineati al governo, a volte senza la loro conoscenza”.
Queste complesse situazioni e tendenze in evoluzione complicano significativamente l’attribuzione degli aggressori, ponendo sfide alle procedure di gestione dell’esposizione al rischio informatico (CREM) per governi e imprese di tutto il mondo. Per questo, l’uso strategico di piattaforme di sicurezza, combinate con le informazioni provenienti da risorse di intelligence, svolge un ruolo cruciale nella mitigazione. La ricerca di Trend Micro mira a far luce sugli sviluppi principali che modellano il sotterraneo di lingua russa negli ultimi anni. Una comunità, operante in numerosi paesi e territori, oramai riconosciuta per le sue eccezionali capacità in termini di capacità, sofisticazione degli attacchi, distribuzione dei bersagli, diversità dei processi aziendali criminali e impatto sulle notizie globali.
La lingua e il background culturale condivisi fungono da forze unificanti all’interno di una vasta rete di attori di minacce. L’analisi di Trend Micro segna di fatto una pietra miliare significativa nel lavoro dell’azienda, quale cinquantesima pubblicazione in una serie in corso dedicata all’argomento. Le pubblicazioni precedenti hanno esplorato l’evoluzione del sotterraneo di lingua russa, tra cui “Russian Underground 101″ (2012), ”Russian Underground 2.0” (2015) e la trilogia “Hacker Infrastructure and Underground Market” (2020).
Lingua russa e Russia, due termini spesso confusi
I significativi cambiamenti geopolitici ed economici dei tempi recenti offrono un’opportunità cruciale per riesaminare la loro influenza sullo stato attuale del sotterraneo di lingua russa.
I ricercatori ricordano come sia essenziale distinguere tra i termini “russo” e “sottobosco di lingua russa”, che sono spesso usati erroneamente in modo intercambiabile. La lingua russa è ampiamente parlata e compresa in tutta l’ex URSS e oltre, anche da parlanti di altre lingue slave e all’interno di alcuni paesi limitrofi. Il sottobosco di lingua russa è emerso da forti comunità di istruzione tecnica nell’ex URSS, dove individui tecnicamente qualificati si connettevano attraverso la rete FidoNet prima della diffusa disponibilità dell’Internet moderno.
La fine degli anni ’90 ha visto la convergenza degli utenti attorno alle comunità online, inclusi forum come “anti-chat” e “reversing dot net” e magazine online, focalizzati sulla scrittura di virus, come “Infected voice”. La monetizzazione su larga scala è iniziata nei primi anni 2000, evolvendosi dalle sezioni “commerciali” dei forum online esistenti. Queste sezioni si sono gradualmente diversificate ed espanse nel complesso ecosistema di cybercriminali che vediamo oggi. Fattori esterni come l’introduzione di WebMoney e Bitcoin, l’emergere dell’ecosistema Android, l’ascesa del Web3 e lo sviluppo dell’intelligenza artificiale generativa hanno influenzato in modo significativo le tendenze all’interno. Vale anche la pena sottolineare come non tutte le tendenze emergenti dal sotterraneo di lingua russa siano strettamente criminali. Alcune esistono in una zona grigia, consentendo ai partecipanti di monetizzare le proprie capacità. Un esempio sono le attività di ottimizzazione dei motori di ricerca che si mescolano con l’offerta di locker e di ransomware, le cui sole discussioni sono inaccettabili nei forum di comunicazione tradizionali.
I principali gruppi criminali all’interno di questa comunità tendono a mantenere un basso profilo pubblico per evitare di attirare l’attenzione delle forze dell’ordine che potrebbero interrompere le loro operazioni. Ciò ha portato allo sviluppo di confini etici, come la regola “non lavoriamo in RU”, che vieta di prendere di mira la regione in cui risiedono gli attori delle minacce.
