La fluttuazione delle criptovalute dall’inizio del conflitto in Ucraina rispecchia l’importanza delle stesse utilizzate come finanziamenti alla cyberwarfare in corso.
Lo svela l’analisi di Cynet, giovane azienda israeliana che opera nell’ambito della cybersecurity con una proposizione per il rilevamento e la gestione delle minacce avanzate nell’ambito della sicurezza informatica che si basa su una piattaforma di Autonomous Breach Protection e sfrutta un motore per gli incident in grado di automatizzare completamente le azioni di indagine e di rimedio.
L’azienda ha studiato e fornito una stima sui primi movimenti di denaro, basati sui wallet bitcoin delle grandi organizzazioni criminali. L’analisi di Cynet spiega che la guerra in Ucraina ha polarizzato gli schieramenti. Anonymous ha dichiarato l’apertura delle ostilità contro la Russia, mentre sul fronte opposto Conti, la ransomware gang, contro l’occidente. Con una differenza: Conti è sempre stata molto attiva contro le aziende europee e americane e l’aumento delle segnalazioni di attacchi è, secondo Cynet, più motivato dal fatto che ora le aziende hanno un motivo per dichiararlo.
Per le aziende, in breve, è più vantaggioso svelare di essere vittime di un attacco guerrafondaio, piuttosto che perdere la reputazione per la semplice ammissione di non avere difese adeguate. In numeri, dai leak pubblicati su Twitter da Conti Leaks il 27 febbraio e rilanciati da vx-underground, si parla di 65.000 bitcoin – circa 2 miliardi di dollari – ma si ipotizza anche un totale di 79 miliardi di dollari, che corrisponde allo storico dei guadagni di Conti secondo quanto pubblicato su Github.
Dato certo è quindi la disponibilità di ingenti riserve di criptovalute, sviluppatesi in concomitanza della crescita delle capacità di cyberwarfare delle cyber gang russe. Entrambe le valutazioni offrono bene l’idea del volume di “affari” per il cybercrime e Marco Lucchina, channel manager Cynet per Italia, Spagna e Portogallo, così commenta: “Seguire i flussi di denaro per comprendere gli schemi criminali di grandi organizzazioni è una strategia di vecchia data e tuttora efficace. ]…[ Oggi può essere usata per comprendere il cybercrime e soprattutto il suo profondo legame con le criptovalute: sono il metodo di pagamento anonimo e sovranazionale che ha permesso a questi gruppi di prosperare”.
E tuttavia, proprio in un ambito come questo non è possibile approdare ad analisi “definitive e ferme”, perché il monitoraggio degli schemi criminali delle gang rivela come questi gruppi, in gergo ransomware gang o Apt (Advanced Persistent Threat), schierati, vedono attive in Russia, in Cina, in Corea del Nord e Iran un elevato numero di sotto-organizzazioni.
E’ importante quindi per indirizzare al meglio l’attività di detect, monitorare l’evoluzione del posizionamento delle ransomware gang nel corso della guerra, i distinguo interni ai gruppi e i conseguenti leak che ne svelano i flussi finanziari, in grado di riconoscere preventivamente i loro schemi di attacco. Per questo non è possibile trattare nemmeno Conti come un blocco monolitico e compatto a favore degli interessi russi.
Il gruppo, russofono, non è composto solo dalla comunità russa, vi sono anche ucraini che, con l’inizio delle ostilità, hanno deciso di spaccare il muro di omertà e questo potrebbe aver contribuito a favorire una “fuga di informazioni” come si evince dai The Conti Group’s Diaries.
Le caratteristiche intrinseche delle criptovalute soddisfano proprio le esigenze di attori che per qualsiasi motivo non possono avere accesso ai sistemi principali ma hanno bisogno di scambiare denaro. “Per questo – conclude Lucchina – la tutela dei dati delle aziende e delle istituzioni italiane richiede questa fase di detect, ovvero di monitoraggio del sistema dei wallet. Al tempo stesso, è importante osservare le azioni dell’Fbi e dalla Nsa che negli ultimi anni si sono specializzate proprio nell’analisi dei flussi di criptovalute e, di recente, hanno compiuto imprese notevoli nella lotta al cybercrime, con l’obiettivo di interrompere la circolazione non autorizzata di questi flussi di denaro sospetti”.
© RIPRODUZIONE RISERVATA
