I numeri dei rapporti di cybersecurity da una parte offrono spunti di osservazione e analisi (quantitativi e qualitativi) su volumi, andamenti e geografie degli attacchi ma, in quanto numeri, a volte sembrano ‘mascherare’, le dinamiche legate all’elemento umano. Il cybercrime, infatti, è costituito da persone, gruppi, vere e proprie società/aziende, mentre si è portati ancora a raffigurare il fenomeno attribuendo le iniziative di attacco a singole “figure” o inquadrandolo negli scenari delle cyberwar. In verità quando si parla di attacchi alla cybersecurity le “supply chain” all’opera sono alquanto articolate con specifiche caratteristiche anche a seconda delle geografie e delle ‘sociologie’ di riferimento. Per questo è interessante la ricerca di Trend Micro che propone un’analisi verticale focalizzata sull’underground del cybercrime di lingua russa che continua a rappresentare un riferimento di paragone per capacità di ‘innovazione’, pericolosità delle minacce e capacità di adattamento nello scenario del crimine informatico globale, una sorta di prima linea le cui dinamiche si riflettono poi nel tempo anche in geografie diverse. The Russian-Speaking Underground, questo il nome della ricerca, offre una disamina approfondita su come queste comunità clandestine evolvano costantemente in risposta ai cambiamenti tecnologici e geopolitici, diventando sempre più sofisticate e influenti. 

Regole rigorose, organizzazioni complesse

Contrariamente a quanto si possa pensare, l’underground di lingua russa non si limita a essere un semplice luogo di scambio illecito di dati o strumenti. È una vera e propria società, fondata su regole rigorose, strutture organizzative complesse e valori condivisi.

Vladimir Kropotov
Vladimir Kropotov, principal threat researcher di Trend Micro

Vladimir Kropotov, principal threat researcher di Trend Micro, sottolinea che all’interno di questi ambienti sono “status, fiducia ed eccellenza tecnica a determinare le possibilità di sopravvivenza e il successo”. Gli attori criminali che popolano questi forum operano secondo codici non scritti, sottoponendo i nuovi membri a severi processi di selezione e alimentando sistemi di reputazione che regolano le interazioni. Questo approccio li rende particolarmente resilienti e difficili da infiltrare, e così diventa più complesso anche il monitoraggio e la prevenzione per le forze dell’ordine e per i professionisti della sicurezza informatica. Mentre “il cybercrime ha esteso le sue attività a settori precedentemente inesplorati, come le infrastrutture di telecomunicazione e i dispositivi IoT, il che, combinato con i cambiamenti nelle operazioni finanziarie e logistiche dovuti alle sanzioni, ne evidenzia l’adattabilità e la resilienza”.

L’impatto delle trasformazioni geopolitiche

La struttura dell’underground russo è tutt’altro che statica. La ricerca evidenzia come eventi geopolitici recenti, tra cui la guerra in Ucraina e l’inasprirsi delle tensioni internazionali, abbiano avuto profonde ripercussioni sulle dinamiche interne di queste comunità. I conflitti politici hanno favorito l’emergere di nuovi legami tra gruppi di diversa provenienza, inclusi attori di lingua cinese. Allo stesso tempo, l’hacktivism ha acquisito un ruolo crescente, con gruppi che agiscono non solo per scopi finanziari ma anche per motivazioni ideologiche, aumentando il livello di rischio per infrastrutture critiche a livello globale. Secondo Trend Micro, la fiducia reciproca, un tempo pilastro fondamentale di questi ecosistemi, è stata erosa dalle tensioni e dai cambiamenti nei rapporti tra gruppi criminali, portando a nuove alleanze ma anche a una maggiore instabilità. 

AI, Web3 e biometria

Le tecnologie giocano ancora un ruolo decisivo nell’evoluzione dell’underground cybercriminale. L’adozione di strumenti basati sull’intelligenza artificiale ha abbassato la barriera d’ingresso per attività criminali sofisticate. Gli algoritmi AI vengono impiegati per automatizzare il phishing, migliorare le tecniche di social engineering, ottimizzare gli attacchi a forza bruta e persino per eludere i sistemi di rilevamento delle minacce.

Esempio di gerarchia di business in un'operazione di truffa cyber
Esempio di gerarchia di business in un’operazione di truffa cyber (fonte: The Russian-Speaking Underground, Trend Micro)

Ancora più interessante, la diffusione del Web3 (o anche Web 3.0) relativamente ancora poco conosciuto al pubblico. Si tratta di una sorta di nuova generazione internet, basata sulla tecnologia blockchain, che mira a decentralizzare il controllo dei dati e delle transazioni online e come tale apre anche nuove opportunità di monetizzazione criminale. L’interesse per il furto e la monetizzazione di asset digitali – come criptovalute e Nft – è in forte crescita, molto più nell’underground che nella sfera delle transazioni “in chiaro”. La ricerca di Trend Micro mette in luce una tendenza all’aumento di marketplace clandestini dedicati allo scambio di chiavi private rubate, wallet compromessi e accessi a piattaforme decentralizzate.

Infine, anche i dati biometrici stanno diventando una merce di scambio di valore. Gli strumenti per il furto e l’uso illecito di informazioni biometriche si stanno diffondendo rapidamente, alimentati dalla crescente digitalizzazione dei sistemi di autenticazione personale.

Cresce la specializzazione

Un’altra caratteristica distintiva dell’underground russo è il livello di specializzazione raggiunto. Non più semplici hacker isolati, ma team altamente specializzati che operano come vere e proprie imprese: sviluppatori di ransomware, broker di accessi, esperti in riciclaggio di criptovalute, analisti di dati rubati. Trend Micro evidenzia come modelli di business consolidati, come il ransomware-as-a-service (RaaS), abbiano portato alla nascita di veri e propri “service provider”, ovvero criminali che offrono pacchetti chiavi in mano a clienti meno esperti. Allo stesso modo, crescono i servizi di intelligence gathering, che forniscono informazioni dettagliate su target specifici per facilitare attacchi mirati. In parallelo, si osserva una convergenza crescente tra dominio cyber e mondo fisico. Attività come il doxing (l’esposizione di informazioni personali) o il sabotaggio fisico trovano terreno fertile all’interno di queste comunità, ampliando la portata e la gravità delle minacce.
Le dinamiche dell’underground di lingua russa non si limitano ai confini dell’ex blocco sovietico. Le conseguenze delle attività criminali orchestrate in questi ambienti si fanno sentire anche nell’Unione Europea, negli Stati Uniti e a livello globale. Gli attacchi ransomware, il furto di dati sensibili, le campagne di disinformazione e i sabotaggi alle infrastrutture critiche sappiamo bene quanto rappresentino una minaccia concreta per governi, imprese e cittadini. Ma sono in particolare, la resilienza e la capacità di adattamento di questi gruppi a porre sfide significative alla sicurezza nazionale e alla protezione delle infrastrutture strategiche, in un contesto dove la collaborazione internazionale diventa sempre più essenziale ma anche complessa da gestire.

Comprendere i meccanismi interni dell’underground cybercriminale è quindi una priorità per i team di intelligence, per i professionisti della sicurezza e per le forze dell’ordine. E il report di Trend Micro fornisce una serie di riferimenti non solo per monitorare le tendenze emergenti, ma anche per anticipare gli sviluppi futuri e adottare strategie difensive più efficaci facendo leva su tecniche avanzate di threat intelligence, soluzioni di extended detection and response (Xdr) e piattaforme di cybersecurity integrate – tra cui quella di Trend Micro – che oggi rappresentano strumenti indispensabili per rafforzare la resilienza delle organizzazioni contro minacce sempre più sofisticate.

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE