Nel caso della nuova minaccia denominata BlackMatter si evince un certo orgoglio per il lavoro che fanno, «il nostro ransomware è migliore di LockBit». Ma la terminologia che usano è da brivido.
Le loro non sono «vittime», ma clienti, i loro software malevoli – i «ransomware» con cui bloccano i sistemi criptandoli fino al pagamento del riscatto – sono «prodotti». Il loro modus operandi è basato sulla ricerca di sistemi senza «patch», cioè con vulnerabilità note ma non riparate; preferiscono strumenti open source disponibili e adattabili liberamente; studiano continuamente il target e puntano gli obiettivi più semplici.
Che cos’altro hanno in comune? I bersagli e il modo di operare: simile a imprese legittime.
Sfruttano la disattenzione, l’urgenza, la paura delle vittime e prediligono paesi dove la privacy è importante. Pare che le vittime di «ransomware» in Europa siano più propense a pagare il riscatto per evitare le conseguenze legali e reputazionali del furto dei dati dei clienti.
Per questo hanno almeno un blog nel DarkWeb dove elencano le loro vittime, un «customer care» a cui rivolgersi per intavolare una trattativa, consulenti tecnici e mediatori finanziari per definire modalità di pagamento e ammontare del riscatto.
Lavorano in franchising come le paninoteche, con programmi di affiliazione che prevedono un processo di selezione e una condivisione degli utili. E si dedicano alla ricerca di personale. Non hanno regole precise sulle pratiche di «assunzione», cercano semplicemente chi può fare meglio il lavoro. Preferiscono la diversità nell’appartenenza etnica e religiosa e differenti livelli di istruzione. Anche per questo adesso chi vuole dedicarsi a una carriera criminale non aspetta più una proposta ma si autocandida a fare da talpa, «money mule», mediatore criminale.
La loro non è solo pirateria informatica però, perché a parte un pizzico di ideologia che motiva le campagne ai danni dei paesi occidentali, talvolta sono incoraggiati e coperti da «Stati canaglia».
I delinquenti hanno un fine economico ma sanno di geopolitica e sfruttano i contrasti fra gli stati, in particolare la contrapposizione Usa-Russia. Molti sono dell’Europa orientale e alcuni sarebbero anche riconducibili a servizi russi. D’altra parte, molti servizi segreti collaborano con il crimine organizzato per usarlo quando serve. Ci sono anche dei gruppi di lingua spagnola e inglese che operano in Sudamerica ma sono ancora considerati «robetta».
In questo contesto sta emergendo una nuova tendenza, la trattativa riservata con deposito preventivo. I criminali selezionano i potenziali compratori dei dati rubati, chiedono di versare un compenso per visionarli e, se li comprano, sottraggono il deposito alla cifra finale, altrimenti se lo tengono.
Quando non si parla più dell’attacco che ha sottratto i dati vuol dire che la vittima ha (quasi sempre) pagato.