La società di sicurezza informatica Trustwave ha scoperto che l’arresto del 14 gennaio messo in piedi dall’FSB russo in sfavore della banda di ransomware REvil ha causato paura e ansia nell’universo clandestino del crimine informatico. Dopo aver analizzato alcune discussione nei forum clandestini del dark web, Trustwave ha scoperto che i criminali informatici, una volta al sicuro, oggi ritengono di poter finire in prigione e hanno preso in considerazione la possibilità di trasferirsi.
Il servizio di sicurezza interno russo ha affermato che l’operazione è avvenuta su richiesta delle autorità statunitensi per affrontare gli attacchi ransomware provenienti dal Paese.
L’FSB ha affermato di aver sequestrato 426 milioni di rubli (circa $ 5,6 milioni), $ 600.000 in dollari USA, Є500.000 in euro e 20 auto di lusso dopo aver arrestato 14 membri della ransomware gang REvil.
Una eventuale collaborazione tra FSB russo e Stati Uniti fa molta paura ed ha aumentato l’ansia nei circoli clandestini. “Questo è un grande cambiamento” pensano in molti. “Non ho alcun desiderio di andare in galera”, ha esclamato un utente attivo nei forum criminali. Dalla Russia ci potrebbe essere una fuga di capitali annessa a menti criminali verso altri lidi come India, Cina, Medio Oriente o Israele.
Queste preoccupazioni hanno confermato che le bande di ransomware percepivano la Russia come un rifugio per le loro attività criminali. Tuttavia, lasciare la patria del Cremlino può solo aumentare le possibilità di arresto ed estradizione negli Stati Uniti come avvenne per il fondatore di Alpha Bay: estradiato dalla Thailandia e morto in carcere “suicida” nel Canada che lo riaccolse a braccia aperte.
Le lavanderie di criptovalute sotto osservazione
Sembrerebbe che l’FBI stia prendendo di mira gruppi di ransomware attraverso gli exchange di denaro liquido e di criptovalute, che si sospettano stiano collaborando con l’FBI a Mosca e di aver prestato le loro collaborazioni negli interrogatori.
La vera sorpresa per molte gang criminali specializzate nei ransomware è quella di non essere protette dallo stato e, visti gli ultimi risvolti, chi credeva il contrario, adesso deve cambiare idea.
In un momento di panico generale, aumenta anche la diffidenza nei confronti degli amministratori dei forum online, adducendo una attività di informazione da parte di qualche admin in favore delle forze dell’ordine e molto probabilmente si tratterebbe di una persona soprannominata RED \ KAJIT, amministratore del forum Ramp, sospettato di lavorare per la controparte. Gli amministratori dei forum fanno paura anche perchè hanno accesso alle informazioni sui membri e potrebbero condividerle con le agenzie di sicurezza come parte di un patteggiamento o per incentivi come ricompense finanziarie.
C’era già aria di guai in giro per Mosca e Sanpietroburgo
Trustware ha analizzato la conversazione di un membro che prevedeva nel novembre 2021 che gli arresti sarebbero avvenuti entro due mesi. Tuttavia, alcuni credevano di poter evitare l’arresto e continuare le loro attività di ransomware. Un membro ha offerto diverse soluzioni per eludere le forze dell’ordine nel caso in cui l’FSB russo avesse collaborato con le autorità statunitensi. Ha consigliato di utilizzare Tor per l’anonimato, archiviare risorse digitali rubate su diversi computer e utilizzare la crittografia. Inoltre, ha consigliato ai criminali informatici di evitare inutili chiacchiere sul dark web, aggiungendo che “ora è pericoloso scrivere qualsiasi cosa, ovunque“. Ha anche avvertito che le telecamere a circuito chiuso erano ovunque a Mosca e San Pietroburgo, un enorme rischio per la sicurezza dei criminali informatici coinvolti nel ritiro fisico di denaro estorto.
REvil ha pestato i piedi sbagliati
Altri partecipanti alle discussioni nel dark web hanno incolpato il gruppo ransomware REvil per aver attirato l’attenzione, attaccando organizzazioni multimiliardarie in paesi potenti come gli Stati Uniti, vantandosi di ciò.
Un membro ha sottolineato che “essere una superstar nel nostro business è una pessima idea”. “Era necessario pensare prima di scalare e crittografare aziende, scuole e stati multimiliardari”, ha affermato. “Con chi hanno osato competere?”
