La guerra russo-ucraina in corso è anche una guerra digitale, in cui si intrecciano hackeraggi, attacchi DDoS, cyberspionaggio e azioni di guerriglia cibernetica. Se questo è parso chiaro fin dall’inizio del conflitto armato, con le sanzioni economiche dell’Europa nei confronti della Russia (come l’estromissione dal sistema Swift) è emerso anche il ruolo controverso delle criptovalute all’interno della crisi geopolitica in corso. Le monete digitali stanno offrendo ai russi uno strumento alternativo di pagamento e di finanza, ma non solo. Aziende di sicurezza informatica come l’israeliana Cynet hanno posto l’attenzione sulle criptovalute come mezzo di finanziamento della guerra in corso, un mezzo capace di mobilitare miliardi di dollari.
Quanti, esattamente, difficile dirlo. Una possibile stima si basa, innanzitutto, sui leak pubblicati dalla gang che sta dietro al ransomware Conti (e che è responsabile di un certo numero di attacchi di alto livello, tra cui quello dello scorso anno al sistema sanitario nazionale irlandese). Analizzando questi leak, Cynet ha stimato che nei wallet di criptovaluta delle grandi organizzazioni criminali ci sia una cifra non inferiore a 65.000 bitcoin, pari a circa due miliardi di dollari. Se consideriamo, però, lo storico dei guadagni di Conti (desunto da quanto pubblicato su GitHub), si arriva a un bottino totale di 79 miliardi di dollari.
“Seguire i flussi di denaro per comprendere gli schemi criminali di grandi organizzazioni è una strategia di vecchia data e tuttora efficace”, ha commentato Marco Lucchina, channel manager Italy, Spain & Portugal di Cynet. “È stata usata nell’America del proibizionismo e poi, successivamente, nella lotta alla mafia siciliana negli anni Novanta. Oggi può essere usata per comprendere il cybercrime e soprattutto il suo profondo legame con le criptovalute: sono il metodo di pagamento anonimo e sovranazionale che ha permesso a questi gruppi di prosperare”.
Vero è che il cybercrimine controlla solo una minima parte dell’economia delle criptovalute, una quota dello 0,15% secondo i calcoli di Chainalysis. Ma parliamo in ogni caso di cifre colossali, con una stima (sempre opera di Chainalysis) di 14 miliardi di dollari di guadagni illeciti realizzati nel 2021 in forma di valuta crittografica, e per lo più derivanti dai ricatti degli attacchi ransomware e dalla rivendita di credenziali e dati rubati. “Il sistema finanziario internazionale ragiona in dollari dal 1944”, ha proseguito Lucchina, “ma le criptovalute sono nate proprio per dare un’alternativa democratica e le caratteristiche intrinseche del nuovo sistema si sposano perfettamente con lo scenario di uno Stato che non ha più accesso al sistema principale”.
Ma da che parte stanno i cybercriminali? Notoriamente, le nazioni di provenienza dei gruppi Apt e delle ransomware gang più citate nelle cronache sono Cina, Corea del Nord, Iran e, forse al primo posto, proprio la Russia. Da San Pietroburgo proverrebbero i membri del gruppo Wizard Spiders, autore di Conti e di Ryuk, altro ransomware molto attivo nel 2021. In un blog post, all’indomani dell’invasione russa dell’Ucraina, il gruppo si è schierato apertamente con Vladimir Putin: “Il team Conti annuncia ufficialmente il pieno supporto al governo russo. Se qualsiasi organizzazione deciderà di effettuare un cyberattacco o qualsiasi attività di guerra contro la Russia, noi impiegheremo tutte le capacità a nostra disposizione per colpire le infrastrutture critiche del nemico”. All’interno del “team Conti” operano però anche cittadini ucraini, e proprio da uno di loro proverrebbero i leak pubblicati online per smascherare le attività del gruppo. Nel frattempo altri hacker, di tutt’altro genere, come quelli di Anonymous hanno schierato le proprie armi di guerriglia digitale a sostegno dell’Ucraina.
Per quanto riguarda il ransomware e altri attacchi condotti da persone di nazionalità russa, secondo Cynet non dobbiamo necessariamente aspettarci un aumento degli attacchi contro i Paesi che stanno applicando sanzioni economiche. Se ora le segnalazioni sono più numerose, forse è perché in questo momento le vittime hanno meno remore a dichiarare di essere state colpite. Come evidenziato da Cynet, monitorare l’evoluzione del posizionamento delle ransomware gang nel corso della guerra, le spaccature interne ai gruppi e gli eventuali leak sarà utile per comprendere gli schemi di attacco di questi attori cybercriminali.
“La tutela dei dati delle aziende e delle istituzioni italiane passa dunque da questa fase di detect, ovvero di monitoraggio del sistema dei wallet”, ha spiegato Lucchina. “Al tempo stesso, è importante osservare le azioni dell’Fbi e dalla Nsa, che negli ultimi anni si sono specializzate proprio nell’analisi dei flussi di criptovalute e di recente hanno compiuto imprese notevoli nella lotta al cybercrime, con l’obiettivo di interrompere la circolazione non autorizzata di questi flussi di denaro sospetti”.