Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Nella mente del criminale informatico: Evoluzione e motivazioni

Sandro Sana : 24 Settembre 2024 15:39

Negli ultimi anni, il crimine organizzato ha subito una trasformazione radicale. Se un tempo l’immaginario collettivo evocava figure di boss mafiosi e traffici illegali condotti attraverso reti fisiche, oggi ci troviamo davanti a un nuovo paradigma: il crimine organizzato informatico. Le gang di ransomware, il modello del Ransomware as a Service (RaaS), i broker di accesso e gli sviluppatori di malware rappresentano una realtà sempre più complessa, strutturata e sofisticata, capace di minacciare la sicurezza globale con modalità mai viste prima.

Questi criminali moderni non sono più figure isolate, ma piuttosto parte di vere e proprie “aziende criminali”, organizzate secondo una gerarchia e gestite con logiche di mercato. Si tratta di reti ben strutturate, dove ogni membro ha un ruolo specifico, dal programmatore che sviluppa il malware all’affiliato che lo distribuisce, fino al broker di accesso che fornisce le porte d’ingresso ai sistemi compromessi. Queste organizzazioni non si limitano a singoli attacchi, ma operano come vere e proprie “imprese” con obiettivi economici ben definiti e ruoli distribuiti.

Le nuove aziende del crimine: ransomware gang, RaaS e affiliati

Il fenomeno delle ransomware gang rappresenta una delle più evidenti espressioni di questo nuovo crimine organizzato. Gang LockBit e REvil operano come imprese globali, con divisioni interne dedicate allo sviluppo del software, alla negoziazione dei riscatti, al marketing e persino all’assistenza clienti. Gruppi, come Vanir e Ransomcortex, si concentrano su settori particolarmente vulnerabili e redditizi, come la sanità, per sfruttare la sensibilità dei dati​. Ogni attacco informatico è pianificato nei minimi dettagli: le vittime vengono selezionate in base alla loro vulnerabilità, il malware viene personalizzato e distribuito, e i riscatti vengono richiesti in criptovaluta, garantendo anonimato e sicurezza per gli esecutori.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Il modello del Ransomware as a Service ha ulteriormente abbassato la barriera d’ingresso per coloro che vogliono intraprendere attività criminali. Oggi, un attore malintenzionato non deve più avere competenze tecniche avanzate per eseguire un attacco ransomware: è sufficiente pagare per accedere a una piattaforma RaaS, che fornisce tutto il necessario per lanciare un attacco. Gli affiliati ottengono una percentuale del riscatto pagato dalle vittime, mentre i creatori del ransomware ricevono una commissione. Questo modello decentralizzato ha permesso la proliferazione di attacchi su larga scala, amplificando l’impatto del fenomeno.

Le interviste alle gang rivelano come questi criminali si considerino professionisti del settore, distaccati dai danni che causano. Il Vanir Group, per esempio, è composto da ex-affiliati di altre gang e si concentra esclusivamente sul guadagno economico. Secondo loro, la debolezza delle aziende, incapaci di proteggere adeguatamente i propri dati, rappresenta una falla da sfruttare.

Initial Access Broker (IaB): la chiave per il successo degli attacchi

Un altro attore cruciale nella criminalità informatica moderna è il broker di accesso (Initial Access Broker). Questi criminali specializzati si occupano di ottenere accesso alle reti aziendali compromesse e vendere tali accessi ai gruppi di ransomware o ad altri attori malintenzionati. Con il continuo incremento dei sistemi informatici vulnerabili, i broker di accesso sono diventati una risorsa chiave per il successo degli attacchi su larga scala.

Questi intermediari agiscono come i “fornitori” delle gang di ransomware, garantendo una via di accesso privilegiata alle reti delle vittime. L’accesso può avvenire attraverso vulnerabilità non corrette, credenziali rubate o campagne di phishing, e viene poi venduto al miglior offerente nei mercati clandestini.

La psicologia del criminale informatico: motivazioni, profili e l’età sorprendentemente giovane

Uno degli aspetti più sorprendenti della criminalità informatica è l’età dei suoi partecipanti. Molti di questi criminali sono adolescenti o giovani adulti, spesso dotati di abilità tecniche notevoli, ma privi della maturità emotiva per comprendere appieno le conseguenze delle loro azioni. La domanda fondamentale è: cosa spinge un adolescente a intraprendere una carriera nel crimine informatico?

Una delle motivazioni principali è senza dubbio l’opportunità economica. La possibilità di guadagnare cifre esorbitanti in tempi brevi, senza dover uscire di casa, è un incentivo potente. Le gang non cercano fama o riconoscimento politico, come affermato da BlackEyedBastard del Vanir Group, ma mirano esclusivamente a trarre guadagno finanziario. Le richieste di riscatto, come nel caso di Ransomcortex, sono calcolate in base ai ricavi aziendali, cercando di sfruttare la vulnerabilità delle vittime e massimizzare i profitti​. Il crimine informatico promette ricompense finanziarie immediate che spesso superano di gran lunga qualsiasi alternativa legale disponibile per i giovani. In un contesto dove il successo economico è spesso sinonimo di status sociale, molti adolescenti vedono nel crimine informatico un mezzo per affermarsi e migliorare la loro vita.

Un altro fattore chiave è la sfida intellettuale. Il mondo della cybercriminalità offre un terreno fertile per menti curiose e creative, che trovano gratificazione nell’hacking e nella manipolazione dei sistemi informatici. La sensazione di superiorità tecnologica e la capacità di sfidare istituzioni e aziende globali alimentano un senso di potere che può facilmente creare dipendenza. Molti degli hacker più giovani vedono il crimine informatico come una dimostrazione di abilità, uno scontro con i limiti della sicurezza aziendale. Secondo gli affiliati di gruppi come LockBit e RADAR, essere sempre “un passo avanti” rispetto alle difese è parte integrante del loro modus operandi​.

La mancanza di consapevolezza delle conseguenze legali e morali rappresenta un altro elemento significativo. Molti di questi giovani criminali non percepiscono il crimine informatico come un’azione “fisicamente violenta” o immediatamente dannosa. Non vedendo le loro vittime direttamente, tendono a dissociare le proprie azioni dalle conseguenze devastanti che gli attacchi ransomware possono avere su persone e organizzazioni.

Infine, vi è il senso di appartenenza a una comunità. Le piattaforme clandestine e i forum dedicati al crimine informatico offrono un luogo di aggregazione virtuale, dove gli aspiranti hacker possono condividere esperienze, strumenti e consigli. Questo senso di cameratismo crea un legame psicologico che rafforza il coinvolgimento nel crimine.

Profilo SOCIO-Psicologico

Il profilo socio-psicologico dei cybercriminali emerso dalle interviste condotte da Red Hot Cyber rivela una serie di caratteristiche comuni, che delineano un ritratto di questi individui e dei loro comportamenti.

1. Cinismo e distacco emotivo

Molti di questi criminali mostrano un forte distacco emotivo dai danni che causano alle loro vittime. Per esempio, BlackEyedBastard del Vanir Group ha affermato che il loro obiettivo principale è esclusivamente il profitto, senza alcun interesse per l’impatto sociale o umano delle loro azioni. Il danno provocato è visto come il risultato dell’incapacità delle vittime di proteggere i propri dati, piuttosto che come una responsabilità del criminale​.

2. Motivazione finanziaria predominante

Le interviste rivelano che la maggior parte delle gang, come Vanir e RADAR, sono motivate principalmente dal guadagno economico. L’ideologia politica o il desiderio di notorietà sembrano avere poca o nessuna importanza per loro. Questo è evidente anche nelle loro dichiarazioni riguardo ai risarcimenti, che sono calcolati in base al fatturato dell’azienda colpita, dimostrando un approccio commerciale molto razionale e freddo​.

3. Professionalizzazione e struttura organizzativa

Molti di questi gruppi operano con un’organizzazione simile a una vera e propria azienda, con una divisione chiara dei ruoli. Alcuni si affidano a broker di accesso per entrare nelle reti delle aziende, mentre altri mantengono tutto in-house, sviluppando i propri malware e gestendo direttamente le estorsioni. Questa struttura organizzativa e il modello RaaS (Ransomware as a Service) rendono l’attività criminale estremamente efficiente e meno rischiosa per chi è al vertice.

4. Una sfida tecnica come status symbol

Molti cybercriminali giovani, soprattutto adolescenti, sono attratti dalla sfida tecnica di violare sistemi complessi. Dimostrare abilità superiori alle difese aziendali diventa una forma di autoaffermazione. Questo desiderio di dimostrare il proprio valore tecnico si combina spesso con un sentimento di superiorità nei confronti delle istituzioni che dovrebbero proteggere i dati​.

5. Cultura del “fair play” criminale

Nonostante il loro coinvolgimento in attività illegali, alcuni di questi gruppi aderiscono a una sorta di “codice morale”, evitando di attaccare certi settori, come ospedali o organizzazioni di beneficenza. Ad esempio, BlackEyedBastard ha dichiarato che il gruppo Vanir evita di attaccare paesi della Comunità degli Stati Indipendenti (CIS), dimostrando che persino tra i criminali esistono limiti etici, per quanto distorti​.

6. Collaborazione e dinamismo

Le organizzazioni cybercriminali moderne mostrano una notevole capacità di adattamento e collaborazione. I membri cambiano gruppo, come ex-affiliati di Karakurt e LockBit che hanno dato vita al Vanir Group, dimostrando una fluidità simile a quella delle reti aziendali, dove la mobilità dei dipendenti è frequente. Questo dinamismo consente loro di acquisire nuove competenze e rafforzare le proprie operazioni​.

7. Razionale, freddo e calcolatore

L’intero modus operandi di queste organizzazioni criminali è orientato alla massimizzazione del profitto con il minimo rischio. La fredda razionalità con cui decidono i loro attacchi, valutando le vulnerabilità economiche delle vittime e puntando a un profitto ottimizzato, li rende ancor più pericolosi. Essi adottano anche tecniche di negoziazione collaborativa, cercando di convincere le vittime a pagare presentandosi come “giusti” nelle loro richieste​.

Il ruolo degli adolescenti e delle nuove leve

Un aspetto particolarmente inquietante di questo fenomeno è l’ingresso nel crimine informatico di adolescenti e giovani adulti. Molti di loro sono attratti dalla promessa di guadagni facili e dall’anonimato che il mondo digitale offre. La combinazione di insicurezza economica, alienazione sociale e accesso illimitato a risorse tecnologiche li rende prede ideali per queste organizzazioni. Non è raro trovare giovani hacker che iniziano come semplici affiliati per poi crescere all’interno delle strutture criminali​.

Le interviste rivelano una mancanza di empatia e una visione cinica della vulnerabilità umana. I criminali non si sentono responsabili per i danni collaterali causati dalle loro azioni, come gli attacchi a ospedali o infrastrutture critiche, giustificando le loro azioni con la mancanza di protezioni adeguate da parte delle vittime​.

L’azienda criminale: da cybercriminali a “professionisti”

Oggi le gang di ransomware operano come aziende, con dipartimenti specializzati, come broker di accesso, esperti di ingegneria sociale e pentester. Il modello RaaS consente loro di esternalizzare alcune attività e concentrarsi sulle operazioni principali. La professionalizzazione del crimine informatico permette una maggiore efficienza e riduce i rischi di esposizione, in quanto molti compiti vengono affidati a terzi​.

Questa evoluzione sta trasformando il panorama della cybersecurity, richiedendo alle aziende di adottare difese sempre più sofisticate e dinamiche per contrastare un nemico che è in continua evoluzione. Le motivazioni di profitto e l’accesso a risorse tecniche avanzate rendono queste gang un avversario temibile, spesso un passo avanti rispetto alle difese tradizionali.

Un futuro incerto

Questa crescente professionalizzazione del crimine informatico e la giovane età dei suoi protagonisti sollevano questioni complesse per il futuro. Le forze dell’ordine stanno lottando per tenere il passo con la rapida evoluzione di queste reti, mentre i governi e le aziende investono in misure di sicurezza sempre più sofisticate per proteggersi.

Comprendere la mente del criminale informatico è essenziale per sviluppare strategie efficaci di prevenzione e deterrenza. Le motivazioni psicologiche che spingono giovani talenti a entrare nel mondo del crimine cibernetico devono essere affrontate attraverso un’educazione mirata, che sottolinei le responsabilità etiche delle abilità tecnologiche, e attraverso la creazione di opportunità legali che possano competere con i guadagni facili del crimine.

In definitiva, il crimine informatico rappresenta una sfida multidimensionale che va oltre la semplice sicurezza tecnica. È una battaglia culturale e psicologica, dove la comprensione delle dinamiche umane gioca un ruolo fondamentale nella costruzione di un futuro più sicuro e consapevole; comprendere la psicologia e le motivazioni dietro queste organizzazioni è essenziale per poter sviluppare strategie efficaci di difesa e prevenzione.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro CLUSIT e giornalista presso RedHot Cyber, Cybersecurity360 & Digital360.
Visita il sito web dell'autore