Cisco Talos: intervista ad un hacker degli attacchi ransomware

Alla fine del 2020, Cisco Talos ha identificato e preso contatto con uno dei protagonisti delle minacce ransomware. Aleks, questo il nome di fantasia adottato per l’occasione, ha accettato di condividere alcuni dettagli sulla sua “professione”. In questo modo ha rivelato informazioni molto importanti che non sono quasi mai prese in considerazione dai professionisti della security: il lato umano delle minacce. Vediamo più nel dettaglio il profilo di quest’uomo.

Talos ha guadagnato la fiducia di Aleks proprio mentre quest’ultimo cercava di rubare informazioni critiche da usare per le sue attività. Imparando a conoscere l’hacker da un lato umano, Talos è riuscita a capire cosa lo ha spinto ad impegnarsi in attività cybercriminali, come seleziona i suoi obiettivi e quali sono i suoi pensieri sull’attuale panorama delle minacce ransomware.

Il background professionale dell’hacker dietro gli attacchi ransomware | Intervista Cisco Talos

Aleks conduce una vita ordinaria: ama la musica, la storia, la cucina, ha scadenze sul lavoro e dedica il suo tempo libero alla famiglia e agli hobby. Nulla di più che un uomo comune come tutti. L’hacker è un uomo di circa 30 anni, risiedente nella regione siberiana e molto probabilmente ha un’istruzione di livello universitario e opera nel mondo dei rasnomware da diversi anni.

Sostiene di aver imparato da solo le competenze necessarie per i penetration test, la sicurezza della rete e come lavorare con la threat intelligence, sia open-source che dell’underground cybercriminale. Nei primi anni 2000 ha acquisito una buona conoscenza della rete e dei suoi protocolli e ha cominciato a concentrarsi sui linguaggi markup e scripting come HTML, CSS, e JavaScript.

Queste conoscenze, legate allo studio di piccoli framework web, lo hanno aiutato a trovare lavoro presso una società IT mentre finiva il suo percorso di studi. Dopo la laurea ha continuato a lavorare nel campo IT. La forte delusione per non esser stato apprezzato e ascoltato dall’industria informatica e per non aver mai ricevuto uno stipendio adeguato alle conoscenze, ha spinto Aleks verso il “lato oscuro”. 

I punti salienti dell’intervista di Cisco Talos all’hacker

• Gli hacker sono alla costante ricerca di sistemi senza patch, un modo semplice e veloce per introdursi nelle reti delle aziende. La gestione del patching può essere complicata, soprattutto per le grandi aziende.
• La maggior parte dei criminali informatici si affida quasi esclusivamente a strumenti open-source che sono facilmente disponibili su Internet: il modo più rapido ed efficace per portare un attacco senza dover utilizzare strumenti più sofisticati.
• I criminali informatici sono spesso autodidatti e avidi consumatori di notizie sulla sicurezza e si tengono aggiornati sulle ultime ricerche e vulnerabilità, utilizzando queste informazioni per i propri attacchi. Le aziende dovrebbero incoraggiare i loro team di sicurezza a continuare a imparare non solo ottenendo certificazioni ma anche tenendosi aggiornati e seguendo da vicino le tendenze nel panorama delle minacce informatiche.
• I criminali informatici puntano a colpire gli obiettivi più semplici senza tener conto di alcun obbligo morale. Nonostante le dichiarazioni di Alek sull’etica degli attacchi, Talos ritiene che le scuole, le realtà che operano nell’assistenza sanitaria e quelle legate al COVID-19 rimangono obiettivi importanti.
• Anche se non più attivo, l’utlizzo del ramsonware Maze era basato su un franchising con un vero e proprio programma di affiliazione. Come per Maze, anche l’abilitazione all’uso di  Lockbit presuppone un processo di selezione e una condivisione degli utili. Inoltre, mantenere la parola data alla vittima è una parte importante parte del modello di business di LockBit.

Di seguito invece sono riportate alcune affermazioni di Aleks che forniscono uno sguardo ulteriore sulla scena attuale degli attacchi ransomware:

• Gli ospedali sono considerati dei bersagli facili da colpire ed effettuano il pagamento del riscatto con percentuali che vanno dall’80% al 90%.
• Il GDPR dell’Unione europea gioca a favore dei “cattivi”: le vittime di ransomware in Europa sono più propense a pagare il riscatto per evitare le conseguenze legali di un attacco in caso diventasse di dominio pubblico. Anche gli Stati Uniti sono un obiettivo ma, essendo obbligatorio segnalare alle autorità tutte le violazioni subite, spesso l’interesse a pagare un riscatto è più ridotto.
• I gestori di  Maze trattenevano  fino al 35% dei profitti generati da attacchi ransomware dei suoi affiliati: una percentuale   estremamente elevata rispetto ad altri gruppi che ha scoraggiato alcuni hacker dal lavorare con loro.
• Gli hacker sembrano caratterizzati da un codice etico piuttosto contradditorio: Aleks, ad esempio, esprime un forte disprezzo per coloro che attaccano le organizzazioni sanitarie ma, allo stesso, fornisce prove deboli sul fatto che non siano un suo obiettivo.

Insomma, da questa intervista di Cisco Talos all’hacker Aleks emergono dei profili vari e a volte contraddittori fra loro. A spingere gli hacker ad agire così possono essere i motivi più disparati e proprio per questo motivo a volte possono perdere la loro umanità. Sicuramente diventare un hacker sarebbe da evitare, ma chi può giudicarli per le loro scelte? Fateci sapere cosa ne pensate a riguardo nei commenti. Io intanto vi segnalo il nostro articolo riguardante la campagna di phishing che si sta svolgendo in occasione di San Valentino. Per non perdervi ulteriori news riguardanti l’universo software, continuate a seguire le pagine di tuttoteK!