Tramite la piattaforma proprietaria di Cyber Threat Intelligence, il team SoC Swascan ha rilevato un interessante sviluppo nella continua evoluzione degli scenari di cyber war che stanno continuamente mutando nel panorama internazionale del Cyber Crime.
I portavoce di LockBit e REvil hanno, infatti, accusato il gestore del forum Dark Web Ramp di essere un informatore al servizio delle forze dell’ordine russe.
Il Contesto
Nel sempre più complesso scenario di geopolitica che vede contrapposti gli schieramenti di Ucraina e Russia, la stanno facendo da padrone i Criminal Hacker.
In poche settimane, infatti, Kiev è stata soggetta a numerosi attacchi che hanno preso di mira oltre 60 agenzie governative, in un tentativo apparente di creare scompiglio e un clima di tensione ancora più profondo.
Si è da tempo sospettato che a portare a termini questi attacchi siano dei gruppi di Criminal Hacker collegati al Cremlino. Criminali informatici altamente specializzati e competenti che dividono le loro attenzioni tra attacchi mirati con scopo di profitto – e quindi monitorati costantemente tramite la Threat Intelligence Swascan – e incursioni digitali favorevoli agli obiettivi di geopolitica di Mosca. Il tutto sotto l’ombrello della completa immunità da parte delle autorità russe; la nazione da cui la quasi totalità di loro operano e operavano.
Questa immunità totale garantita dal Cremlino pare, però, essere stata infranta da una recente serie di arresti da parte dell’FSB che ha troncato completamente la colonna portante di uno dei più prolifici gruppi di Criminal Hacker.
REvil, un’organizzazione (o gang) di Criminal hacker famosa per l’attacco contro l’azienda americana Kaseya è stata infatti bersagliata da una serie di arresti che hanno portato alla condanna di 14 persone nella prima metà di gennaio di quest’anno. Arresti che sono arrivati dopo una forte pressione diplomatica da parte del Governo Biden.
Ma questo atto, magari volto a stemperare la tensione tra i due Paesi, già alta per le questioni inerenti alla Crimea ha acceso una pubblica guerra di parole nei forum dove i rappresentati di queste gang di Criminal Hacker operano.
I risvolti portati alla luce dall’analisi di Threat Intelligence
Poche ore dopo gli arresti, infatti, il portavoce della gang Lockbit – noto per aver attaccato il Ministero della Giustizia francese e il colosso degli armamenti transalpino Thales – ha pubblicamente accusato sul forum XSS.is il portavoce di un altro forum – RAMP – noto come KAJIT di essere di fatto al servizio delle forze dell’ordine e di aver causato la caduta del famigerato gruppo REVIL. Una sorta di doppio gioco in uno scenario già molto complesso.
Nella conversazione riportata di seguito, REvil e LockBit discutono sull’operato di RED. A quanto sostengono i due, il terzo aveva allestito una serie di “trappole” in cui andava a reclutare potenziali Criminal Hacker tramite delle vere e proprie esche per poi “rivendere” le informazioni su questi criminali informatici alle autorità russe.
“Dato che REvil probabilmente non si metterà mai più in contatto, sto pubblicando parte della sua corrispondenza personale, senza il suo consenso, dato che è scomparso senza lasciare traccia, molto probabilmente grazie a qualcuno chiamato RED\KAJIT, alias l’admin del forum ramp, che lavora per la polizia contro la gente comune che si guadagna il pane tramite infiltrazione e raccolta di informazioni…” spiega il Criminal Hacker LockBit.
Il portavoce della gang ha poi continuato “Nel merito dell’argomento, posso dire quanto segue, che non dovreste essere così incuranti della vostra sicurezza e anonimato, e sperare che la Federazione Russa sia per sempre riluttante ad assistere nella cattura dei cyber criminali internazionali… “meglio trasferirsi a vivere in un altro paese, come la Cina…”
Accuse molto pesanti che di fatto danno adito alla teoria che l’arresto dei vari membri della gang REvil potrebbe veramente essere stato frutto di un’operazione scaturita dalla pressione internazionale.
Si tratta di un ulteriore svolta della vicenda che vede coinvolti attori internazionali impegnati sullo scacchiere della geopolitica. Difficile trarre conclusioni al momento, ma ciò che è sicuro è l’attenzione dell’FSB nella mappatura delle comptenze cyber, anche criminali.
A prescindere, poco dopo, KAJIT, la presunta spia, è stata “bannata” dal forum dove erano state lanciate le accuse.