Analisi - Gli attacchi ransomware russi contro l'Ucraina sono attenuati da fughe di notizie, problemi di assicurazione

Gli avvertimenti che le bande di ransomware filorusse avrebbero intralciato le reti in Ucraina e nei suoi alleati non si sono finora concretizzati a causa del disordine tra la malavita spesso dietro tali attacchi e i timori che gli assicuratori non pagassero.

Conti, uno dei più noti gruppi di criminalità informatica con base in Russia, noto per l'uso di ransomware per estorcere milioni di dollari alle aziende statunitensi ed europee, ha annunciato il suo "pieno appoggio" al governo del presidente Vladimir Putin la settimana scorsa - una posizione che ha poi ritrattato quando sono diventati loro stessi vittime di una fuga di notizie.

"Non ci alleiamo con nessun governo e condanniamo la guerra in corso", ha detto il gruppo in una dichiarazione successiva sul suo sito web.

Ore dopo è apparso un account Twitter chiamato "ContiLeaks", che ha pubblicato ciò che diceva essere registrazioni di chat interne del gruppo criminale.

Le chat segrete sono state divulgate da un ricercatore ucraino di cybersicurezza, secondo Vitali Kremez, l'amministratore delegato della ditta di cybersicurezza AdvIntel con sede in Florida, e Alex Holden, il fondatore della Hold Security con sede nel Wisconsin. Reuters non ha potuto verificare indipendentemente l'autenticità del materiale.

Kremez e Holden hanno detto che erano entrambi in contatto con il ricercatore ma che non voleva parlare con i media perché era ancora in Ucraina.

Secondo Kremez, il ricercatore aveva accesso ai registri da un po' di tempo ma la causa scatenante per renderli pubblici è stata la decisione di Conti di giurare fedeltà a Mosca mentre le forze russe invadevano l'Ucraina.

"Era offeso da quello che dicevano", ha detto a Reuters.

Nei mesi precedenti all'invasione dell'Ucraina da parte di Putin, le agenzie di intelligence occidentali avevano avvertito del caos causato da una "ricaduta" distruttiva di qualsiasi potenziale cyberattacco russo sulle infrastrutture nazionali dell'Ucraina.

Il mese scorso il gruppo Conti è stato coinvolto in attacchi di alto profilo contro KP Snacks, un produttore di popolari snack salati britannici, e almeno una società di stoccaggio di petrolio che ha causato ritardi in alcune spedizioni di petrolio europee.

PROBLEMI DI ASSICURAZIONE

Per essere sicuri, il presidente della Commissione Intelligence del Senato degli Stati Uniti Mark Warner ha detto che i principali gruppi di hacking russi identificati dagli Stati Uniti - l'A Team, come l'ha chiamato - non sono stati usati in un grande cyberattacco dopo l'invasione. "Non sembra che siano stati attivati", ha detto a Reuters lunedì.

Domenica, una seconda famigerata gang di ransomware chiamata Lockbit, anch'essa ritenuta dagli esperti di cybersicurezza avere membri in Russia, ha rilasciato una dichiarazione dichiarando la propria neutralità nel conflitto con l'Ucraina.

"Per noi sono solo affari e siamo tutti apolitici. Siamo interessati solo al denaro per il nostro lavoro innocuo e utile", ha detto il gruppo sul suo sito web.

"Non parteciperemo mai, in nessuna circostanza, ad attacchi cibernetici alle infrastrutture critiche di nessun paese del mondo né ci impegneremo in conflitti internazionali".

Una ragione potrebbe essere una scappatoia nelle polizze assicurative sulla cybersicurezza.

Esperti e osservatori del settore dicono che le bande di estorsione digitale più sofisticate tendono a concentrarsi su organizzazioni assicurate perché le vittime hanno già una polizza per effettuare il pagamento, rendendole meno propense a contrattare per un riscatto inferiore o a rifiutarsi di pagare.

Ma le polizze assicurative hanno tipicamente delle esclusioni per quello che viene descritto come un "evento di forza maggiore" - come un atto di guerra.

Il precedente legale su cosa significhi esattamente è ancora in via di sviluppo, ma un attacco informatico rivendicato da una banda allineata con una potenza belligerante come la Russia potrebbe facilmente rientrare in quella categoria, ha detto Holden di Hold Security.

"Negli attacchi ransomware, la maggior parte delle aziende chiama il proprio assicuratore ransomware", ha detto. "Si può immaginare che gli assicuratori direbbero: 'forza maggiore' o 'questo è un caso di guerra - non lo copriremo'".

Ci sono anche altre ragioni. Molte bande sono concentrate sul fare soldi e - anche se i loro membri non sono interessati a lasciare la Russia - sono diffidenti nell'attirare l'attenzione negativa che deriva dall'allearsi apertamente con uno stato ostile.

"Il nostro governo comincerebbe a designarli come combattenti nemici o terroristi", ha detto Holden.