La guerra tra gruppi ransomware rischia di scaricarsi sulle aziende

Lo scorso marzo il sito di rappresentanza del gruppo RansomHub ha subito un clamoroso defacement. La pagina sul Dark Web riportava un laconico “R.I.P 3/3/25”. Secondo i ricercatori di Sophos, si sarebbe trattato di un attacco portato dal gruppo rivale DragonForce.

Lo scontro tra RansomHub e DragonForce è solo l’ultimo episodio in ordine di tempo di un fenomeno che sta agitando i bassifondi di Internet. Le “scaramucce” tra cyber criminali stanno diventando sempre più frequenti e possono avere delle ripercussioni anche sulle vittime dei loro attacchi.

Le conseguenze del Ransom as a Service

Nella cronaca nera del Web, per la verità, non mancano precedenti di scontri tra gruppi di cyber criminali. Già intorno al 2015 si è assistito a casi in cui gruppi di cyber criminali hanno utilizzato malware che, oltre a infettare il computer delle vittime, prevedevano l’esecuzione di strumenti per rimuovere eventuali trojan rivali.

L’avvento dei ransomware e l’adozione di sistemi di affiliazione basati sul concetto di Ransomware as a Service, negli ultimi anni, hanno però esasperato la situazione.

Lo schema, ben noto agli esperti di sicurezza, prevede di solito una struttura gerarchica in cui i vertici mettono a disposizione il ransomware e si occupano di gestire la fase di contrattazione con le vittime. Agli affiliati viene invece lasciato il “lavoro sporco”, cioè l’attacco vero e proprio. I proventi dell’estorsione vengono poi spartiti tra i vertici e la manovalanza.

In questo nuovo scenario, la competizione tra i diversi gruppi è diventata ancora più accesa. Non si tratta solo di colpire più bersagli, ma anche di acquisire il maggior numero possibile di affiliati.

E se normalmente questo avviene facendo leva sul prestigio, la reputazione o l’offerta di una fetta della torta più grande rispetto alla concorrenza, non mancano i casi in cui qualcuno decide di giocare sporco.

Tradimenti, vendette e ritorsioni

Il primo scossone nel settore dei ransomware è stato provocato dalla guerra tra Russia e Ucraina. Fino al febbraio del 2022, infatti, i cyber criminali di area russofona si consideravano a tutti gli effetti una sorta di comunità, all’interno della quale aver il passaporto di Mosca o di Kiev non contava più di tanto.

L’escalation nel conflitto ha portato però a una spaccatura anche nel mondo del cyber crimine e i vari gruppi si sono schierati con decisione da una parte o dall’altra, dando vita a qualche scontro a colpi di hacking.

Il più celebre riguarda il gruppo Conti, che ha pagato cara la scelta di schierarsi pubblicamente al fianco di Putin. Un membro ucraino del gruppo, infatti, ha pubblicato su Internet una serie di chat interne dell’organizzazione, permettendo così alle forze di polizia di identificare numerosi membri.

Più in generale, però, gli scontri tra gang si sono fatti più frequenti proprio a causa dell’evoluzione verso il concetto di Ransomware as a Service. Lo stesso gruppo Conti aveva subito un altro leak di informazioni a causa di un affiliato che li accusava di non avergli riconosciuto il “giusto compenso” per la sua attività. Più recentemente, la stessa sorte è toccata al gruppo Black Basta.

Un discorso a parte lo merita REvil, tra le gang più attive nel 2020, finita al centro di una vicenda piuttosto particolare. Nel settembre del 2021, nell’ambiente si è diffusa infatti la voce che il loro ransomware contenesse una backdoor che permetteva ai vertici del gruppo di avviare un secondo canale di comunicazione con le vittime degli attacchi.

In pratica, si trattava di un trucco per “tagliare fuori” gli affiliati e incassare il riscatto senza riconoscergli la loro percentuale del 70% sul bottino. Meno di un mese dopo, i server di REvil sono stati hackerati nel corso di un’operazione di polizia.

Anche se non ci sono conferme ufficiali, molti esperti ritengono che l’attacco sia stato reso possibile da una “soffiata” da parte di un affiliato in cerca di vendetta.

I rischi per le vittime

Nel nuovo panorama, sempre più fluido, gli scontri tra gruppi ransomware si stanno facendo sempre più frequenti, così come lo sono i “cambi di maglia” degli affiliati. Il rischio per le organizzazioni vittima dei cyber criminali è che questo si traduca in estorsioni reiterate da parte di gruppi diversi a cui vengono venduti gli accessi ai sistemi compromessi.

Se l’ipotesi è piuttosto remota per quanto riguarda il classico schema estorsivo basato sulla crittazione dei dati e il blocco dei sistemi, diventa decisamente più concreta quando si parla di furto di dati.

Lo stesso attore, infatti, potrebbe tranquillamente vendere le informazioni a gruppi diversi. In questo modo, la vittima rischierebbe di subire due, tre o quattro estorsioni a opera di soggetti (apparentemente) diversi.

Per l’ecosistema criminale, il concetto di affiliazione comporta anche una certa resilienza alle attività di contrasto portate avanti dalle forze di polizia.

È stato evidente nel caso dello smantellamento del gruppo Lockbit: a poche settimane dall’operazione che ha portato agli arresti di due membri e al blocco dei sistemi, il vuoto lasciato da Lockbit è stato colmato da gruppi emergenti che, probabilmente, hanno attratto gli ex-affiliati della gang.

Il Ransomware as a Service diventa “cartello”

L’ulteriore elemento che emerge dallo scontro tra DragonForce e RansomHub riguarda le modalità di organizzazione dei gruppi. DragonForce, infatti, propone una formula definita come “cartello”.

Ricalcando lo schema dei narcotrafficanti sudamericani, i leader del gruppo hanno ideato una modalità di collaborazione che prevede l’usuale fornitura di strumenti tecnici e supporto per l’estorsione in cambio di una percentuale del riscatto, ma permettendo a ogni gruppo affiliato di mantenere la propria “identità”. Una strategia che punta probabilmente a decentralizzare la gestione degli attacchi, almeno sotto un punto di vista formale.

Il vantaggio, per DragonForce, sarebbe anche quello di essere meno esposta sotto il profilo mediatico, senza rinunciare alle sue mire di espansione nel settore.