Un cambio improvviso di scenario. È questa la mossa, per il momento inspiegabile, del gruppo hacker Wizard Spider. Fino ad ora le operazioni architettate dall’organizzazione avevano avuto una certa regolarità d’azione, frutto di studio e pianificazione. Una volta colpita la vittima mediante il ransomware di produzione propria Conti, partiva la richiesta di riscatto. In caso di esito positivo il gruppo sarebbe passato alla vittima successiva, mentre in caso di resistenza avrebbe proceduto alla pubblicazione o alla vendita dei dati nel darknet.
Ecco che allora, a interrompere il consunto canovaccio, arriva un cambio di programma. Da qualche giorno, infatti, il gruppo di pirati informatici sta pubblicando sul proprio blog dei messaggi per tenere informato il grande pubblico della merce a disposizione. Un elenco puntuale, a mo’ di catalogo, con tanto di nome dell’azienda cui appartenevano i dati in vendita.
Non è ancora del tutto chiaro cosa spinga Wizard Spider all’adozione di tale strategia di comunicazione. Perché dovrebbero pubblicizzare così apertamente di aver violato i sistemi di questa o quella azienda? Il Chief Technology Officer della Emsisoft (azienda di sicurezza informatica) ritiene che la mossa possa ricondursi alla volontà degli hacker di terminare la propria attività, di disfarsi di quanto ancora sia monetizzabile.
Sembra strano il solo pensiero di chiudere un’azienda così all’improvviso, ma ci sono delle buone ragioni di fondo. Sono infatti in corso importanti sforzi da parte di Stati Uniti ed Unione Europea per stroncare le scorribande dei criminali informatici. Due malviventi sono stati arrestati dall’Europol in Romania per aver estorto denaro a 5mila persone usando il ransomware del famoso gruppo REvil. Lo stesso sodalizio criminale REvil è stato oggetto di recente incursione nei propri sistemi da parte delle agenzie del governo USA. L’operazione ha portato all’oscuramento del portale sul darknet di REvil, che pare sia ancora chiuso.
Un’operazione clamorosa, a seguito della quale Wizard Spider, che in un comunicato ha attaccato l’incursione statunitense come “un’azione unilaterale ed extraterritoriale”, potrebbe avere percepito un cambiamento di vento. Il temibile scafo, che si muove nelle torbide acque delle minacce sul web, potrebbe finalmente ammainare le vele e tornare in porto.
Capita anche che, in un ultimo sussulto di protesta, un attimo di lucida follia, il gruppo di pirati informatici -padre del pericolosissimo ransomware Conti- lanci strali contro l’hacking dei server attivi in un paese straniero, con la conseguente violazione della sovranità altrui.
Come si diceva in precedenza, questa è solo una delle ipotesi in campo. La nuova stagione inaugurata da Wizard Spider potrebbe essere nient’altro che uno stratagemma per portare le aziende al tavolo delle trattative. Un annuncio per farsi vedere, alla stregua di quelli che si pubblicavano (e si pubblicano ancora, ma con meno eco mediatica del passato) a pagina intera nei principali quotidiani cartacei.
Sarà interessante vedere quale sarà la contromisura adottata dai gruppi hacker esistenti, ma quel che è certo è che i criminali informatici faranno di tutto per tornare protagonisti nel mercato delle esfiltrazioni fraudolente, troppo profittevole per essere abbandonato.
