Cosa vi viene in mente quando vi diciamo “attacco informatico”? Immediatamente, presumiamo che sia realizzato da un unico individuo.
Tuttavia, lo stereotipo dell’hacker solitario è ormai superato.
Al giorno d’oggi, infatti, molti degli attacchi informatici più sofisticati sono svolti dalle cosiddette “cybergang”.
Questi gruppi di cybercriminali scatenano il caos in modo sincronizzato, il che consente loro di massimizzare i danni in un solo colpo.
Questo articolo vi aiuterà a capire cos’è una cyber gang, fornendo dettagli su come funzionano queste moderne “aziende del cybercrimine”, non tralasciando dettagliati riferimenti nell’attualità.
- Storia delle cybergang
- Le tipologie di cybergang esistenti
- La struttura di una cybergang
- Come attaccano le cybergang
- Cybergang e conflitti bellici internazionali: qual è il loro ruolo
- Le cybergang più famose
Storia delle cybergang
Le cybergang esistono dagli albori del Web, ma da un anno e mezzo a questa parte le loro attività stanno diventando sempre più centrali, fagocitando la letteraria figura gli hacker solitari.
Questi gruppi sono diventati una minaccia sempre più significativa non solo per gli Stati – considerato il periodo bellicoso, la pandemia Covid-19 e il terrorismo degli scorsi anni – ma in egual misura anche per le imprese.
Sono infatti in grado di:
- interrompere le operazioni aziendali
- estorcere denaro
- mettere in ginocchio un’impresa gettandola in bancarotta
Sono il corso degli eventi storici e geopolitici che coinvolgono grandi fette di popolazione ad aver dettato la strada verso questo cambiamento.
Il discorso è ovviamente globale e fa registrare un inesorabile e costante aumento: il suo primo apice è stato raggiunto durante le varie fasi della pandemia Covid-19; ma ora si è naturalmente protratto a sfruttare l’onda della guerra cibernetica, in un’ottica di difesa/attacco rispetto alla guerra tra Russia e Ucraina.
Le tipologie di cybergang esistenti
I gruppi hacker generalmente si distinguono in tre categorie:
- Autori di minacce sponsorizzati da uno Stato, balzati agli onori della cronaca già negli anni immediatamente precedenti lo scoppio della guerra in Ucraina.
Tuttavia, non tutte le gang informatiche lavorano per motivi di lucro. Alcune di loro, infatti, collaborano con governi e presidi di intelligence per presunte ragioni di sicurezza di Stato.
Il nazionalismo è ciò che li alimenta nella loro spinta. Questi gruppi in genere utilizzano Advanced Persistent Threat (APT) per infiltrarsi nelle reti di governi e organizzazioni considerate ostili.
- Gruppi finanziariamente motivati (FIN).
Come suggerisce il nome, questi gruppi sono “mercenari cibernetici”.
Si rivolgono alle grandi aziende, ovvero a privati, che possono assoldarli a fronte di ingenti somme di denaro. Queste bande si affidano principalmente alle e-mail di phishing, lavorando pazientemente per esfiltrare informazioni riservate alle vittime designate dai committenti.
- Gruppi non categorizzati (UNC).
Questo gruppo include la moltitudine generale di gang informatiche.
Le cyber gang funzionano come un’unità di forze speciali. Operano in sincronia con ciascun membro svolgendo compiti specifici in base alle proprie competenze.
Rappresentano una sorta di piccola società del crimine informatico: dalle più semplici a quelle sempre più strutturate.
La struttura di una cybergang
L’equipaggio di una cybergang può variare da un gruppo all’altro, ma le posizioni comuni includono quanto segue:
- Team Leader. Il capo del gruppo che chiama i colpi nell’operazione.
- Codificatori. Sviluppano i programmi necessari per lanciare gli attacchi. Ad esempio, malware, spyware, ransomware, ecc.
- Amministratori di rete: sono responsabili dell’acquisizione dei servizi o dei dispositivi online di un’organizzazione.
- Specialista intrusioni: assicura che malware/spyware/ransomware rimangano sulla rete o sul dispositivo del loro obiettivo.
- Data Miner. La persona che può identificare i dati/informazioni importanti ed estrarli in un formato utilizzabile e pulito.
- Money Specialist: il contatto che determina il modo più appropriato per guadagnare da vari tipi di dati.
Di recente, un ricercatore ucraino si era infiltrato in una cybergang, e ha reso pubblici più di 60.000 messaggi di una chat utilizzata dai membri.
Da questi si è ricostruito che la gang, come le sue numerose alleate e concorrenti, ha una struttura aziendale vera e propria, con un numero massimo di 100 persone.
Come una normale software house, la gang è strutturata con: un reparto di amministrazione, uno di ricerca e sviluppo e uno di produzione.
Nel corso degli anni, analisti, investigatori e ricercatori di sicurezza informatica hanno avuto modo di esplorare fughe di dati, intromissioni e operazioni sotto copertura, all’interno di diverse cybergang, proprio come le operazioni di spionaggio nella vita reale.
Cosa emerge da queste analisi? Senza dubbio, l’organizzazione settorializzata è diventata comune, gestita quasi come un’associazione.
Ciò che si apprende, infatti, è che il gruppo ha sì una forma piramidale, ma sotto il vertice ha una serie di suddivisioni di compiti che settorizzano i membri che ne fanno parte.
Quindi, alla base della piramide possono parteciparvi anche persone “comuni” che, in cambio di soldi extra, decidono di fare azioni delittuose nel mondo informatico.
Come attaccano le cybergang
Quali sono i metodi di attacco più comuni utilizzati dalle cybergang?
- Malware: il malware è l’attacco informatico più diffuso utilizzato dai criminali. È un software dannoso installato su una rete senza il consenso del proprietario. A seconda del tipo, le sue capacità di attacco possono variare dalla raccolta di dati riservati al monitoraggio delle azioni del bersaglio e al controllo dei computer.
FireEye ha anche notato che nel 2020 sono stati sviluppati e distribuiti 514 nuovi ceppi di malware. Dei ceppi sviluppati, l’81% è stato sviluppato privatamente e aveva una disponibilità limitata. Il restante 19% erano ceppi prontamente disponibili. - Ransomware, una forma di malware che crittografa i file, rendendoli inutilizzabili. Gli aggressori lo usano per trattenere le informazioni di una vittima in cambio di un ingente riscatto. Le piccole e medie imprese sono tra i recenti bersagli di questo tipo di attacco.
- Phishing. Questo attacco informatico utilizza l’ingegneria sociale per indurre la sua vittima a divulgare informazioni preziose. Gli hacker impersonano rappresentanti di un’organizzazione rispettabile, contattando tramite e-mail per offrire aiuto per fermare una minaccia fasulla. Ma il loro vero obiettivo è rubare dati sensibili o installare malware sulla rete.
- Spoofing di siti Web: in questo caso, gli hacker creano un sito web fraudolento che imita un’azienda nota. Inducono così clienti e dipendenti dell’azienda a condividere informazioni sensibili come credenziali di accesso, informazioni bancarie, ecc. Le gang informatiche ne fanno un grande uso, perché sono facili da eseguire e molto efficaci.
- IOT (Internet of Things) Hacking. questi attacchi possono concentrarsi sun una grande varietà di smart object, dai gadget mobili agli smartwatch e persino dispositivi di sicurezza domestica. Gli hacker prendono di mira gli IOT a causa della loro vulnerabilità e del grande volume di dati che possono essere rubati. I dispositivi mobili sono i bersagli preferiti dagli aggressori poiché contengono centinaia di dati preziosi come dettagli di carte di credito, credenziali, ecc.
Cybergang e conflitti bellici internazionali: qual è il loro ruolo
Durante questi mesi di guerra, ha fatto la sua comparsa in tutti i tabloid una delle più famose gang di cybercriminali pro-Putin: Killnet, nota per atti di cyber-terrorismo.
Oltre ad aver attaccato in Europa, nel nostro paese ha colpito diversi siti istituzionali in un importante atto di cyberaggressione.
Killnet ha lanciato un attacco DDoS su larga scala, portando alla disconnessione di siti Web critici, inclusi quelli di;
- Senato
- Ministero della Difesa
- Istituto Superiore di Sanità.
Fortunatamente, nessuna infrastruttura è stata danneggiata e le pagine sono state riportate online nel giro di poche ore.
Killnet ha successivamente rivendicato la responsabilità dell’attacco, affermando tramite il proprio canale Telegram che il suo obiettivo era quello di “Prendere di mira i paesi della NATO e l’Ucraina”.
L’obiettivo dei criminali informatici non era quindi quello rubare dati e chiedere un riscatto, quanto piuttosto mandare un avvertimento all’Italia e agli altri Paesi colpiti, dando così dimostrazione del loro essere in grado di paralizzare i sistemi di chiunque sostenga gli sforzi bellici dell’Ucraina.
Le cybergang più famose
Per concludere questo articolo, vi elenchiamo le cybergang più note, che hanno messo in ginocchio Stati ed imprese.
- REvil (Sodinokibi), la cyber gang ransomware più pericolosa, protagonista nelle ultime vicende della guerra cinernetica
- Lockbit 2.0, la banda ransomware che opera in RaaS
- DarkSide, la gang RaaS che violò la Colonial Pipeline
- Sandworm, il gruppo national state del Cremlino
- BlackCat, l’evoluzione di REvil e BlackMatter
- Hive ransomware, la gang che ha colpito le Ferrovie dello stato
- Omega ransomware
- Cuba ransomware
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.