Il potente collettivo hacker russo dietro ai casi Kaseya e JBS è scomparso misteriosamente dalla rete, appena un giorno prima di un incontro ad alto livello tra funzionari Usa-Russia. Biden aveva avvertito Putin di intervenire sul cibercrimine, pena conseguenze. Che succede?
Qualcosa si muove sul fronte ransomware. REvil, la gang di cyber-ricattatori più attiva al mondo, è scomparsa improvvisamente dalla faccia della rete. E il tempismo sembra troppo perfetto per considerare l’evento una coincidenza, data la tensione tra Stati Uniti e Russia sulla questione cibersicurezza e l’incontro di alto livello tra alti funzionari della Casa Bianca e del Cremlino in agenda per ieri pomeriggio.
Ci sono diverse spiegazioni per la scomparsa di REvil. Forse gli hacker hanno scelto di ritirarsi, data l’attenzione mediatica a cui sono sottoposti da mesi, e non si esclude che possano ricomparire sotto un altro nome, com’è spesso prassi. Forse il governo americano o un Paese alleato li ha definitivamente messi offline. O forse è stato lo stesso governo russo a farlo. Le ultime due eventualità sono gravide di implicazioni geopolitiche.
I riflettori della stampa internazionale si sono accesi su REvil per due attacchi ransomware di alto profilo, rispettivamente ai danni del fornitore di soluzioni software Kaseya e del colosso mondiale della produzione di carne JBS. Ma secondo gli analisti il collettivo hacker è responsabile per il 42% degli attacchi ransomware recenti, che peraltro crescono esponenzialmente da qualche anno.
Gli esperti e l’intelligence americana collegano REvil alla Russia, non solo perché parlano russo, il loro codice malevolo ha in sé tracce di russo e non colpisce i computer impostati in russo, ma anche perché gli attacchi alle supply chain globali (con enfasi su quelle occidentali) e il loro grado di sofisticazione fanno pensare al supporto, o perlomeno al tacito assenso, di una potenza statale. E si sospetta da tempo che il Cremlino, motore di svariate aggressioni informatiche, tragga vantaggio da questa indeterminatezza.
La questione cibersicurezza, già prioritaria all’insediamento dell’amministrazione di Joe Biden, è diventata un imperativo in seguito all’attacco alla Colonial Pipeline lo scorso aprile. Al summit di Ginevra il presidente americano ha voluto avvertire la sua controparte russa, Vladimir Putin: piano con gli attacchi informatici, o saremo costretti a reagire. Nelle parole della portavoce della Casa Bianca, Jen Psaki: “Se il governo russo non può o non vorrà intervenire contro attori criminali in Russia, ci riserviamo il diritto di intervenire noi stessi”. L’incontro di mercoledì è una dimostrazione del dialogo diplomatico sul tema che è scaturito dal summit di giugno.
Se fossero stati gli americani a mandare REvil offline, significa che Biden si è stancato di giocare in difesa ed è passato al contrattacco. Del resto, l’intensificarsi degli attacchi negli ultimi mesi è ragione sufficiente per questa escalation nel reame del ciberspazio. Se fossero stati i russi, invece, si può pensare al risultato del dialogo in corso tra le due potenze, o almeno alla decisione di Putin di diminuire le azioni ostili per evitare le ripercussioni americane e internazionali.
Per ora né la Casa Bianca né il Cremlino hanno rilasciato dichiarazioni. Però è strano che un gruppo hacker longevo, all’apice del loro successo e ricco di milioni di dollari appena ottenuti tramite ricatto scompaia improvvisamente dalla circolazione. È normale che i siti darkweb su cui pubblicano funzionino un po’ a singhiozzo, ma non è normale che vadano tutti offline, incluso il portavoce del gruppo, allo stesso momento.
