Sommario
Le autorità statunitensi hanno colpito con sanzioni mirate una rete informatica nordcoreana accusata di aver orchestrato infiltrazioni in 300 aziende statunitensi, impiegando identità false per accedere a posizioni da remoto. Parallelamente, un’operazione internazionale coordinata ha portato al sequestro dei domini dark web del ransomware BlackSuit, responsabile di centinaia di attacchi e richieste estorsive per centinaia di milioni di euro. A emergere è un quadro globale sempre più interconnesso, dove la cybercriminalità sponsorizzata da stati e gruppi ransomware condividono infrastrutture, tattiche e obiettivi, rendendo le operazioni investigative e sanzionatorie sempre più complesse.
Schemi IT nordcoreani: sanzioni statunitensi e ricavi illeciti
Il Dipartimento del Tesoro degli Stati Uniti ha ufficializzato sanzioni contro la Korea Sobaeksu Trading Company e tre suoi affiliati: Kim Se Un, Jo Kyong Hun e Myong Chol Min. Questi soggetti sono accusati di gestire e sostenere una rete di lavoratori IT nordcoreani che, utilizzando documenti d’identità rubati o falsificati, si presentano come professionisti freelance per aziende statunitensi ed europee, in particolare nel settore sviluppo software e ingegneria IT. Secondo quanto dichiarato, tali schemi hanno fruttato solo in un singolo caso oltre 15,58 milioni di euro, soldi poi riciclati e reinvestiti per finanziare i programmi nucleari e missilistici della Corea del Nord. Le società USA coinvolte sono state spesso inconsapevoli del reale background dei lavoratori, che agivano da laptop farm allestite per far apparire i dispositivi connessi da suolo americano. L’FBI ha pubblicato nuove linee guida rivolte alle imprese per rafforzare i controlli di verifica dell’identità dei lavoratori remoti, suggerendo monitoraggi approfonditi su ubicazioni IP, anomalie comportamentali e uso di strumenti antifrode.
Laptop farm: il caso Chapman e l’infiltrazione silenziosa
Il caso più emblematico è quello di Christina Marie Chapman, donna 50enne dell’Arizona, condannata a 8 anni e mezzo di carcere per aver gestito una laptop farm attiva tra il 2020 e il 2023. La struttura permetteva a operatori nordcoreani di simulare connessioni dal territorio statunitense, bypassando così i controlli geografici dei datori di lavoro. Chapman ha ospitato oltre 90 dispositivi informatici, spedendone almeno 49 verso la Cina, e ha elargito stipendi attraverso conti bancari personali, contribuendo alla frode sistemica. Le autorità USA stimano un impatto diretto su oltre 300 aziende, incluse reti televisive nazionali e compagnie tecnologiche della Silicon Valley. Le operazioni delle laptop farm sfruttano tecniche sofisticate: VPN, accessi RDP, automatismi per simulare movimenti del mouse e battiture di tastiera, eludendo i sistemi di rilevamento automatici. Una volta assunti, i lavoratori introducono malware e backdoor, rubando proprietà intellettuali e credenziali sensibili.
Sequestro di BlackSuit: la stretta globale sul ransomware
In parallelo, l’operazione internazionale “Checkmate”, guidata dal Dipartimento di Giustizia USA con il supporto di Homeland Security Investigations, Secret Service, e le forze dell’ordine di Olanda, Germania e Regno Unito, ha portato al sequestro dell’infrastruttura dark web del ransomware BlackSuit. Il gruppo BlackSuit ha colpito oltre 350 organizzazioni in tutto il mondo, richiedendo riscatti per più di 458,45 milioni di euro. Originato come Quantum, poi rebrandizzato in Royal e infine in BlackSuit, il gruppo si è evoluto attraverso tool crittografici come Zeon e BlackSuit encryptor, colpendo in particolare ospedali, enti pubblici e fornitori di servizi essenziali. Le autorità hanno rimpiazzato i domini .onion usati per pubblicare i leak con banner di sequestro, interrompendo l’accesso ai dati rubati delle vittime. Gli esperti di Cisco Talos e Bitdefender hanno osservato similitudini tra BlackSuit e Chaos ransomware, suggerendo una continuazione delle operazioni sotto nuovi nomi per eludere le indagini.
Impatti sui settori strategici e risposta globale
Le campagne nordcoreane e i ransomware come BlackSuit impattano catene di fornitura globali, settori sanitari, enti pubblici, aziende tech, con danni che superano i miliardi di euro annui. Le infiltrazioni provocano interruzioni operative, furti di proprietà intellettuale, perdita di fiducia da parte dei clienti e azioni legali da parte delle vittime. Le autorità statunitensi stimano che le attività della sola rete nordcoreana abbiano generato entrate illecite per centinaia di milioni di euro, dirette a sostenere l’apparato militare e nucleare del regime. Per contrastare il fenomeno, gli USA offrono ricompense fino a 13,77 milioni di euro a chi fornisca informazioni utili all’arresto degli individui sanzionati. Nel caso del ransomware, le operazioni congiunte – come quelle già viste con ALPHV, LockBit e ora BlackSuit – indicano una strategia sempre più integrata tra forze dell’ordine e imprese di sicurezza, che cooperano per disarticolare le infrastrutture di comando e controllo.
Linee guida aggiornate: prevenzione e resilienza
Per contrastare il fenomeno delle falsificazioni identitarie da parte di lavoratori remoti, l’FBI e il Dipartimento del Tesoro USA suggeriscono alle aziende di:
- implementare verifiche biometriche e controlli documentali rigorosi
- monitorare in tempo reale indirizzi IP, geolocalizzazioni e pattern di attività
- limitare accessi da remoto attraverso VPN aziendali e autenticazione a più fattori
- addestrare lo staff a riconoscere comportamenti sospetti e phishing
- effettuare audit regolari e segmentare le reti per limitare la propagazione di malware
Nel caso del ransomware, le raccomandazioni si concentrano su:
- patching tempestivo delle vulnerabilità note
- uso di soluzioni EDR (Endpoint Detection and Response)
- backup offsite testati regolarmente
- strumenti di SIEM per correlare eventi e identificare tentativi di intrusione
Le autorità ricordano inoltre che non pagare i riscatti rimane la migliore strategia per disincentivare gli attacchi e impedire il finanziamento delle operazioni criminali.
Il funzionamento delle laptop farm: dettagli tecnici
Le laptop farm agiscono come hub di mascheramento geografico, utilizzando dispositivi fisicamente presenti sul suolo USA per simulare l’attività di lavoratori remoti nordcoreani. Ogni laptop viene configurato con accesso RDP o VPN da remoto e controllato tramite script automatizzati che simulano input umani (movimenti del mouse, pressioni di tasti). I dati in uscita vengono poi canalizzati attraverso server proxy o residenziali, mentre i fondi ricevuti come stipendi vengono instradati su conti americani intestati a soggetti compiacenti, poi prelevati in contanti o reinvestiti in criptovalute. Dal punto di vista della difesa, le uniche contromisure efficaci sono la verifica incrociata della posizione geografica in tempo reale, la rilevazione di sessioni multiple simultanee da diversi dispositivi e l’analisi comportamentale del traffico generato.
