Diversi gruppi del cybercrime hanno unito le loro forze per aumentare il tasso di successo delle loro campagne offensive formando gang affiliate a un Cartello nel mondo sommerso dell’hacking.

Analyst1 nella recente analisi “Ransom Mafia – Analysis of the World’s First Ransomware Cartel”, (“Mafia del Riscatto – Analisi sul primo cartello mondiale del ransomware”) ha analizzato i mercati criminali in cui le gang del Cartello sono presenti per ricercare e analizzare le entità criminali all’interno del presunto Cartello.

Gli esperti hanno esplorato il malware e gli strumenti utilizzati dai gruppi, monitorato le loro transazioni bitcoin e studiato i rapporti pertinenti di altri ricercatori sul campo insieme a media selezionati.

Dall’analisi emerge che attualmente esistono quattro gang di ransomware all’interno del Cartello: Twisted Spider, Viking Spider, Wizard Spider e Lockbit.

Le bande che compongono il Cartello provengono dall’Europa orientale e parlano principalmente russo, sulla base di messaggi pubblicati in forum criminali clandestini.

Analist1 ha osservato che le bande affiliate al Cartello:

  1. Distribuiscono / pubblicano dati sulle vittime attraverso siti Web di leak appartenenti ad altre bande all’interno del Cartello, ossia passano i dati rubati a un’altra banda per pubblicarli e negoziare con la vittima.
  2. Più bande all’interno del Cartello che si coordinavano tramite i siti Web di leak del Cartello, inclusa la condivisione di tattiche, l’infrastruttura di comando e controllo e la condivisione / pubblicazione di dati sulle vittime.
  3. Gli aggressori si stanno muovendo verso l’automazione dei loro attacchi. Diverse bande hanno aggiunto funzionalità automatizzate ai loro carichi di riscatto, consentendo loro di diffondere e infettare le loro vittime senza interazione umana.
  4. Le richieste di riscatto continuano ad aumentare. Collettivamente, le bande del cartello hanno generato centinaia di milioni di dollari da operazioni di ransomware ed estorsione di dati.
  5. Diverse gang del cartello offrono Ransomware as a Service (RaaS), assumendo hacker per eseguire attacchi fornendo loro malware, infrastruttura e servizi di negoziazione del riscatto.
  6. Gli aggressori stanno diventando più audaci: conducono interviste di pubbliche relazioni con i giornalisti, rilasciando comunicati stampa e sfruttando annunci sui social media e call center per molestare e spingere le vittime a pagare.
  7. Gli aggressori stanno reinvestendo i profitti ottenuti dalle operazioni di riscatto per promuovere tattiche e malware per aumentare il loro successo e le loro entrate. Il malware viene aggiornato regolarmente, aggiungendo nuove funzionalità sofisticate.
  8. Una banda, Wizard Spider, ha sviluppato un malware unico orientato allo spionaggio, di cui Analyst1 non ha potuto convalidare il modo in cui viene utilizzato ma la sua sola esistenza è preoccupante.  Nel cartello non è stato individuato nessun altro gruppo che utilizza o sviluppa malware di spionaggio.

Secondo gli esperti, il Cartello non è un’entità autentica, ma piuttosto un collettivo di gang criminali che, a volte, lavorano insieme in operazioni di riscatto.  La condivisione dei profitti, tuttavia, è l’elemento principale mancante nella coalizione di attaccanti ransomware discussi. I cartelli sono pericolosi a causa delle grandi risorse finanziarie fornite dalla partecipazione agli utili. Analyst1 ha ricercato tutti i portafogli bitcoin conosciuti e le transazioni associate alle gang discusse.

Abbiamo seguito la scia del denaro e osservato esempi di vittime che pagano una banda e bande che pagano i loro affiliati, ma non abbiamo trovato alcuna prova che le bande condividano i profitti con altre bande del Cartello.

Crediamo che le bande abbiano creato la facciata del cartello per apparire più grande, più forte più potente per intimidire ulteriormente le vittime e farle pagare richieste di riscatto. L’illusione e le affermazioni pubbliche fatte sul cartello hanno ottenuto l’effetto desiderato; tuttavia, ha anche attirato l’attenzione globale delle forze dell’ordine e degli enti governativi”, comunicano gli esperti

Analyst1 ritiene che queste gang di ransomware continueranno a lavorare l’una con l’altra, ma probabilmente dietro le quinte e non a livello pubblico, e a condividere tattiche e risorse, divenendo molto più pericolosi che se operassero in modo indipendente.

Gli esperti ritengono anche che le gang di ransomware concentreranno gli sforzi di sviluppo per automatizzare gli attacchi, tendenza che continuerà a rendere le operazioni di ransomware più efficienti e pericolose e che porterà a una diminuzione dell’uso di hacker affiliati.

“Ciò significa che le gang di ransomware non devono condividere i profitti con gli affiliati, aumentando così le entrate derivanti da ogni attacco. Con la diminuzione del lasso di tempo necessario per eseguire ogni attacco, Analyst1 ritiene che il volume complessivo degli attacchi aumenterà, aumentando il numero di vittime estorte”, conclude l’analisi.

 

 

https://www.analyst1.com/blog/ransom-mafia-analysis-of-the-worlds-first-ransomware-cartel

Twitter
Visit Us
LinkedIn
Share
YOUTUBE