Ransomware: quando sono gli hacker a rubare agli hacker

Anche i criminali hanno una loro etica, a volte. È per esempio noto che esista una sorta di patto di ferro fra gli hacker operanti in Russia per non attaccare bersagli locali, concentrando le attenzioni su aziende europee o statunitensi. Questo vale in particolare per i servizi di ransomware-as-a-Service, delle piattaforme per l'estorsione digitale che alcuni professionisti del crimine, per esempio il gruppo REvil, offrono ad altri hacker in cambio di una percentuale del riscatto, solitamente il 30%.

Ma c'è da fidarsi a mettersi in affari con un gruppo di criminali? Secondo quanto suggeriscono gli esperti, no. 

Scoperta una backdoor nel servizio di REvil

Alcuni hacker affiliati al gruppo russo REvil hanno scoperto una backdoor nascosta nei suoi ransomware che consentirebbe a REvil stesso di truffare i loro clienti. Teoricamente, infatti, solo questi ultimi dispongono delle chiavi di decifrazione dei sistemi che hanno infettato. Sembra però che in alcuni casi REvil tagliasse fuori alcuni affiliati, prendendo il controllo della contrattazione coi clienti e intascando l'intera somma del riscatto. 

A segnalarlo è Flashpoint, azienda specializzata nella cybersecurity, che analizzando forum in lingua russa frequentati da hacker, ha notato numerose lamentele contro REvil. Il gruppo di criminali Signature, per esempio, sostiene che la negoziazione con una vittima per un riscatto da 7 milioni di dollari si è interrotta brutalmente, facendo sorgere il sospetto che siano stati gli autori di REvil a prenderne il controllo. 

Signature non è l'unico ad avere dubbi e a quanto riporta Flashpoint alla discussione hanno partecipato altri attori malevoli, molti dei quali nutrivano forti sospetti sull'affidabilità di REvil. Non tutti sono sulla stessa linea, e non mancano utenti convinti che si tratti solo di forti tensioni fra gruppi di hacker rivali.

Per le vere vittime, cioè chi si è trovato coi sistemi bloccati a causa di un ransomware, cambia però poco quale sia il gruppo responsabile, dato che l'obiettivo è rimettere velocemente in piedi l'infrastruttura, assicurandosi di aver tappato le falle sfruttate dagli attaccanti. 

Ransomware: pagare o non pagare?

Cosa fare in caso di ransomware? La regola di buon senso imporrebbe di non cedere mai al ricatto, sia perché facendolo si inciterebbero altre azioni simili, sia perché non è detto che chi ha cifrato i dati poi sappia sbloccarli, o abbia voglia di farlo. All'atto pratico, però, la risposta è "dipende". Se i dati sono stati sottratti prima di venire cifrati, non pagando il riscatto questi potrebbero essere infatti diffusi online, con un enorme danno di immagine per la vittima. Non solo: in certi casi, se non si hanno backup aggiornati, pagare è l'unico modo per sperare di riavere velocemente dati fondamentali per garantire il proseguimento dell'attività, come nel caso di ospedali o Pubblica Amministrazione.