Dibattito tra i pirati informatici: Ransomware sì o no?

Set 21, 2017 Marco Schiaffino Hacking, In evidenza, Malware, News, RSS, Scenario 0

Sui forum frequentati dai cyber-criminali viene messa in dubbio l’opportunità di consentirne la vendita. “Ci danneggiano”.

Chi frequenta abitualmente i forum nei bassifondi del Web giura che l’intervento degli amministratori nelle discussioni sono piuttosto rari. Ultimamente, però, sono parecchi gli admin che hanno fatto sentire la loro voce nel dibattito che sta animando i siti frequentati da hacker e pirati informatici.

Il tema è quello dei ransomware e dell’opportunità di consentire ai frequentatori dei forum di vendere liberamente il codice per crearli.

Qual è il problema? In buona sostanza è che il business legato alla diffusione dei ransomware sembra rappresentare un problema per gli stessi cyber-criminali. Nonostante sia un’attività particolarmente profittevole (come abbiamo spiegato in questo articolo) questa categoria di malware non è vista di buon occhio nemmeno dai pirati della vecchia scuola, che hanno considerato l’ipotesi di bannare i distributori di ransomware dai loro forum.

A spiegarlo sono i ricercatori di Anomali, che nel corso delle loro attività di intelligence hanno tenuto sotto controllo il dibattito e ora ne hanno riassunto i contenuti i un post pubblicato sul blog dell’azienda di sicurezza.

Come spiegano i ricercatori, la discussione è nata nei forum collegati al cyber-crimine in settori dell’est europeo e in particolare delle repubbliche ex-sovietiche e in Russia.

Più che il contorno e la provenienza dei partecipanti, ciò che risulta interessante sono le motivazioni che animano il dibattito. Stando a quanto riportano gli analisti di Anomali, fino a un certo punto non sono comparse questioni etiche o valutazioni di carattere altruistico, quanto ragionamenti dettati da una fredda valutazione di costi e benefici.

Le cose, però sarebbero cambiate il 5 febbraio del 2016, dopo un attacco ransomware diretto all’Hollywood Presbyterian Medical Center. In quell’occasione, infatti, molti cyber-criminali hanno espresso la loro contrarietà nei confronti di un’azione che stava mettendo a rischio la vita dei pazienti ricoverati nell’ospedale.

I ransomware sono ormai distribuiti come “malware as a service”. Chiunque può comprarne uno e distribuirlo e la cosa non piace molto ai cyber-criminali della vecchia scuola che sono abituati a guadagnarsi il pane scrivendo in prima persona il codice dei loro malware.

Un tema che è tornato di attualità quando ha fatto la sua comparsa WannaCry, che ha colpito con particolare violenza numerose strutture ospedaliere nel Regno Unito. Insomma: i cyber-criminali russi possono anche dimostrarsi spietati fino a quando si parla di denaro, ma quando finiscono in gioco delle vite umane, qualche dubbio viene anche a loro.

Oggi, dopo la conclusione del cosiddetto “anno d’oro dei ransomware”, i dubbi di natura etica sembrerebbero essere scomparsi per lasciare il posto ad altre valutazioni di carattere molto più prosaico.

Secondo i ricercatori, la contrarietà ai ransomware sarebbe dettata da motivazioni legate all’opportunità di evitare attacchi che rischiano di modificare lo scenario in cui i cyber-criminali operano.

Nel dettaglio, molti dei partecipanti ai forum in lingua russa del Deep Web ritengono che i ransomware attirino troppa attenzione sul tema della sicurezza informatica, rovinando in buona sostanza gli affari di chi porta attacchi di altro genere.

Il rischio, insomma, è che a causa del pericolo ransomware le aziende e i normali utenti finiscano per adottare misure di sicurezza più efficaci, rovinando il campo all’attività dei pirati informatici.

C’è anche un’altra argomentazione che i detrattori dei ransomware portano a sostegno dell’ipotesi di una “cacciata” di chi li distribuisce dai forum.

Tra i cyber-criminali dell’est Europa, infatti, esiste una regola non scritta che tutti rispettano scrupolosamente e che potremmo riassumere con il proverbiale “non sputare nel piatto in cui mangi”. Tradotto nel caso specifico: “non attaccare direttamente la Russia”.

Il motivo è da ricercare nell’atteggiamento delle autorità russe nei confronti dei pirati informatici, che nella pratica vengono di fatto tollerati, fornendo una collaborazione di facciata con le forze di polizia occidentale che non corrisponde a un reale impegno nel perseguire i cyber-criminali che operano sul territorio. Almeno fino a quando non diventano un problema per la nazione.

Non è un caso che in molti malware gli esperti di sicurezza abbiano in passato individuato accorgimenti tecnici all’interno dei malware che avevano l’obiettivo dichiarato di escludere dagli obiettivi gli utenti residenti in Russia, per esempio analizzando l’indirizzo IP delle vittime prima di colpire.

I ransomware, secondo molti cyber-criminali, sono strumenti troppo facili da usare e da ottenere. Il rischio, quindi, è che qualche pivello finisca per usarli in campagne di distribuzione localizzate nel “paese amico” rompendo quella sorta di patto di non belligeranza esistente tra i pirati e le autorità costituite.

Secondo i ricercatori di Anomali, una sorta di referendum informale tra i cyber-criminali avrebbe visto un 48,5% esprimersi per il ban dei ransomware dai loro forum. Visto che tra questi ci sono voti “pesanti” (come quelli degli amministratori dei forum) non è detto che in futuro la fazione che osteggia la diffusione dei ransomware non finisca per bloccarne la diffusione sui loro forum.

Al punto in cui stanno le cose, però, è difficile dire quanto una decisione simile possa impattare sulla loro diffusione. Il fenomeno, infatti, ha ormai raggiunto dimensioni tali da far pensare che anche un “boicottaggio interno” possa non avere grandi effetti.

Condividi l'articolo