Wannacry e ExPetr erano cyberspionaggio travestito da ransomware
Un nuovo studio di Kaspersky Lab ipotizza che dietro alle due eclatanti operazioni cybercriminali ci sia la mano di gruppi legati ai governi. Il loro scopo era la distruzione dei dati, più della riscossione del riscatto.
Pubblicato il 10 agosto 2017 da Redazione

Ransomware, come l'ormai famigerato WannaCry, ma anche cyberspionaggio, exploit zero-day e nuove tecniche per generare attacchi ripetuti e persistenti. C'è un bel mix all'interno del nuovo report trimestrale (il secondo del suo genere) realizzato da Kaspersky Lab focalizzandosi su una particolare categoria cybercriminale, quella delle Apt, Advanced Persistant Threath. Lo studio, relativo al periodo di aprile, maggio e giugna, evidenzia alcune evoluzioni nelle tecniche degli attacchi mirati e sofisticati, principalmente condotti da gruppi criminali di lingua russa, inglese, coreana e cinese.
“Continuiamo ad assistere allo sviluppo di gruppi criminali estremamente aggressivi, che non si preoccupano delle condizioni di Internet e di quelle aziende e istituzioni fondamentali che si basano sulla rete”, ha commentato Morten Lehn, general manager Italy di Kaspersky Lab. Le Apt attaccano le aziende a scopo di monetizzazione, ma anche agiscono per scopi di spionaggio quando segretamente finanziate dai governi.
È quest'ultimo, probabilmente, il caso di WannCry e di ExPetr. Due operazioni diverse per caratteristiche e obiettivi, accomunate però dal fatto di fare leva su ransomware stranamente inefficaci. Forse finanziato dalla Corea del Nord (ne è convinta l'Nsa, oltre a Kaspersky), WannaCry ha colpito a tappeto, infettando e crittografando centinaia di migliaia di Pc, appartenenti a cittadini privati, aziende, enti pubblici, ospedali, reti di trasporto. Il complicato meccanismo di riscossione dei Bitcoin ha fatto sì che, in rapporto al numero di infezioni, il “bottino” dei criminali sia stato scarso. Per questo Kaspersky ritiene che la richiesta di riscatto fosse più che altro un diversivo, teso a nascondere il vero scopo dell'operazione: la distruzione dei dati.
Anche ExPetr, che ha preso di mira organizzazioni in Ucraina, Russia e altri stati europei, sfumate le iniziali apparenze di ransomware si è rivelata sostanzialmente un'infezione distruttiva. Le motivazioni precise sono ancora ignote, ma si ipotizza un possibile collegamento con il gruppo criminale Black Energy.
Altro fenomeno interessante del trimestre sono stati tre exploit zero-day per Windows, utilizzati in-the-wild dai gruppi criminali di lingua russa Sofacy e Turla. Sofacy, noto anche come APT28 o FancyBear, ha diretto gli exploit verso alcuni obiettivi europei, tra cui organizzazioni governative e politiche. E il gruppo criminale ha anche testato dei tool sperimentali, “in particolare contro un membro di un partito politico francese prima delle elezioni”, scrive Kaspersky.
KASPERSKY
NEWS
- Un dispositivo indossabile rileva i casi di covid asintomatico
- Battuta d’arresto per Alibaba, la prima dopo una lunga crescita
- Tra cyberwar e cybercrimine, il 2022 riserva ancora delle sorprese
- Ivanti e SentinelOne unite nella lotta alle vulnerabilità nascoste
- Tim, avanti con il taglio dei costi e nello sviluppo della rete