Recentemente, sono emersi due importanti sviluppi riguardanti la criminalità informatica legata alla Russia: una sofisticata campagna di phishing attribuita a un gruppo russo che prende di mira oppositori percepiti in tutto il mondo, mentre il secondo coinvolge la condanna di un cittadino russo per la vendita di credenziali rubate su un noto marketplace del dark web. Questi eventi sottolineano la continua minaccia rappresentata dagli attori statali e non statali russi nel cyberspazio.
Campagna di Phishing di COLDRIVER
Una recente indagine collaborativa condotta dal Citizen Lab ha rivelato una complessa campagna di spear phishing orchestrata da COLDRIVER, un gruppo attribuito al Servizio Federale per la Sicurezza della Federazione Russa (FSB). Questa campagna ha preso di mira figure di spicco dell’opposizione russa in esilio, ONG, accademici e funzionari governativi in Europa e negli Stati Uniti, con un focus particolare su temi legati a Russia, Ucraina e Bielorussia.
Le tecniche utilizzate in questi attacchi sono altamente personalizzate, con i cybercriminali che inviano email apparentemente provenienti da contatti noti delle vittime. Le email contengono allegati PDF che, una volta aperti, reindirizzano gli utenti a siti web di phishing progettati per rubare credenziali di accesso. Questo approccio, noto per la sua efficacia, sfrutta la fiducia delle vittime nei confronti delle persone impersonate, aumentando le possibilità di successo dell’attacco. La sofisticazione della campagna evidenzia l’elevato livello di competenza dei suoi organizzatori, nonché l’ampiezza della minaccia rappresentata dai cyber attori legati allo stato russo.
Georgy Kavzharadze: carder Condannato
Parallelamente, un cittadino russo, Georgy Kavzharadze, è stato condannato a 40 mesi di carcere negli Stati Uniti per la vendita di credenziali rubate su Slilpp, un noto marketplace del dark web. Tra il 2016 e il 2021, Kavzharadze ha venduto oltre 297.300 credenziali rubate, con più di 626.000 credenziali elencate durante la sua attività sul sito. Le credenziali includevano accessi a conti bancari, account di pagamento online e altre risorse sensibili, che sono stati utilizzati dai compratori per effettuare transazioni fraudolente per un totale di oltre 5 milioni di dollari.
Il marketplace Slilpp, che ha operato per quasi un decennio prima di essere chiuso dalle autorità nel 2021, è stato descritto come l’Amazon o l’eBay della vendita di credenziali rubate, con danni stimati a oltre 200 milioni di dollari. L’arresto e la condanna di Kavzharadze rappresentano una significativa vittoria nella lotta contro la criminalità informatica, ma evidenziano anche la vasta portata e il potenziale impatto delle attività illegali online.
Minaccia persistente
Questi due eventi sottolineano la persistente minaccia rappresentata dalla Russia nel cyberspazio, sia attraverso operazioni sponsorizzate dallo stato, come quelle di COLDRIVER, sia tramite attori criminali individuali come Kavzharadze. Le sofisticate tecniche di phishing e la commercializzazione di credenziali rubate continuano a rappresentare sfide significative per la sicurezza globale, richiedendo una vigilanza costante e una cooperazione internazionale per mitigare questi rischi.
