Maze, la gang criminale che prende lo stesso nome dello strumento di ricatto che ha creato, è stata la prima a introdurre un modello di “doppia estorsione” nel panorama del crimine informatico alla fine del 2019 minacciando le vittime di rilasciare i dati rubati di quelli che si rifiutano di pagare il riscatto. Per farlo hanno creato un sito ad hoc coi dataleak, chiamato Maze News, che riporta il giorno dell’attacco, i dati relativi all’infezione, i documenti rubati (file Office e PDF), la loro dimensione, perfino l’elenco degli indirizzi IP e dei nomi delle macchine del server infetti. E, ciliegina sulla torta, riporta i nomi delle società che si sarebbero rifiutate di pagare il riscatto. L’elenco delle vittime della banda è lungo e va da Canon, a LG Electronics fino a Xerox. La tecnica della doppia estorsione è stata successivamente adottata da altre gang di ransomware, tra cui REvil, DoppelPaymer, Nefilim e Clop.
Ma stavolta il portavoce che ha chiarito come il gruppo Maze ha smesso le sue incursioni cibernetiche addirittura da settembre, ha pure spiegato che i suoi hacker stanno cercando di estorcere gli ultimi riscatti prima di chiudere questo capitolo della propria storia. Il sito dove collocano i data leak, cioè i dati trafugati ai bersagli, è sempre meno popolato. E quasi tutte le vittime, a parte un paio, ne sono state rimosse. Rimangono però i file di chi ha deciso di non pagare.
Ma perché hanno deciso di abbandonare il campo e iniziato a smantellare le infrastrutture che hanno usato fino a oggi? Non sembrano avere paura della polizia che pure gli sta addosso. Nell’underground se ne parla parecchio e secondo alcuni analisti potrebbe essere un depistaggio: i membri della gang Maze starebbero cercando nuove affiliazioni, in particolare verso il gruppo chiamato Egregor le cui prime operazioni utilizzerebbero le stesse strategie e buona parte del codice di Maze. Quindi il dubbio è che sia solo un modo per fare ulteriore pressione sui proprietari dei dati rubati quando affermano: “Diffidate da chiunque vi chieda informazioni per essere cancellati dal nostro sito. Potete contattare il supporto di Maze via chat per un altro mese ancora”. Insomma come dire “se non pagate entro un mese non ci sarà più nessuno in grado di cancellare i vostri dati dal sito.”
Se la prendono anche coi giornalisti: “Il cartello Maze esiste solo nella testa dei giornalisti che ne hanno scritto”. E poi finiscono per giustificare lo scioglimento “a causa di un mondo che sta precipitando nell’indifferenza, nella pigrizia e nella stupidità”, fino a polemizzare con le aziende di cybersecurity che non farebbero abbastanza per il loro clienti. Ma finiscono con una minaccia: “Torneremo per mostrarvi i vostri errori e portarvi fuori dal labirinto”. “Maze”, appunto.
Secondo l’esperto di cybersecurity e consulente Enisa, Pierluigi Paganini, però si starebbero solo riorganizzando. “È probabile che ci siano stati dissidi tra i membri del gruppo, – dice – forse, come accade in tante startup, i membri più esperti a un certo punto hanno deciso di dare vita a un nuovo gruppo per guadagnare di più”. “I modelli di affiliazione del cybercrime lo rendono facile, dopo aver appreso quello che c’è da apprendere, i membri delle gang si mettono in proprio per rivendere il malware. Lo stesso decryptor (il file che sblocca il ransomware, dopo il pagamento del riscatto, ndr) che viene inviato alle vittime di ransomware è identico a quello di Maze, gli hanno solo cambiato il nome”.
Insomma, questa sarebbe la dimostrazione che le gang dei cybercriminali operano come le imprese lecite e che hanno un un ciclo di vita come le aziende normali. Inseguono le opportunità di mercato, impiegano i consulenti più bravi e certo non spariscono dall’ecosistema criminale, ma diversificano i loro prodotti creando nuovi marchi. “Una filiazione diretta della logica del ‘crime as a service”, il crimine a consumo, sostiene Paganini.