Prima l’attacco da ignoti che ha paralizzato i server. Poi quello congiunto di Fbi, Cyber Command del Pentagono, Secret Service statunitense e alcuni Paesi amici che ha interrotto le attività online. REvil, uno dei gruppi ransomware più noto e pericoloso al mondo, sembra aver chiuso improvvisamente i battenti. E non è escluso che l’attacco iniziale abbia effettivamente aperto la strada alle autorità trasformando l’ignoto in un partner straniero coinvolto nell’offensiva congiunta.

Si tratta di un collettivo, noto anche come Sodinokibi, di tipo ransomware-as-a-service: le sue operazioni, infatti, vede persone affiliate chiedere supporto ai gestori del malware in questione in cambio della suddivisione del riscatto. Il rapporto con la Russia – REvil è è stato definito a volte un gruppo con base in Russia, a volte russofono, spesso allineato agli interessi di Mosca – sembra aver rappresentato un elemento fondamentale per la decisione delle autorità statunitensi.

Nel palmares di REvil ci sono attacchi come quelli contro Quanta Computer, fornitore di Apple, con la pubblicazione di alcuni dettagli del nuovissimo MacBook Pro 2021 (ad aprile). O, ancora, come quelli ad alcune infrastrutture critiche degli Stati Uniti come il maxi-oleodotto Colonial Pipeline (a maggio). O, infine, come quelli alla supply chain di Kaseya, aziende statunitense che ha tra i suoi prodotti un diffusissimo software di management aziendale (a luglio).

Proprio quest’ultima offensiva avrebbe sbloccato la situazione, con l’Fbi che sarebbe riuscito a entrare in possesso della “master password” che permette di sbloccare tutti i computer colpiti dal ransomware di REvil senza pagare un riscatto. Inizialmente la password non era stata condivisa con Kaseya per evitare di compromettere le indagini, ma la situazione si era sbloccata a fine luglio.

Dunque, l’Fbi, in collaborazione con altre realtà agenzie nazionali e amiche, sarebbe riuscito a mettere le mani sul cuore di REvil, ponendo fine alle sue attività. L’agenzia Reuters ipotizza anche la possibilità dell’arresto di alcuni dei responsabili, elemento che giustificherebbe l’accelerazione improvvisa nell’operazione: nei giorni scorsi, infatti, erano scomparsi il blog e alcuni account Twitter correlati. “REvil era in cima alla lista”, ha spiegato Tom Kellermann, capo della strategia di sicurezza informatica di VMWare e consigliere del Secret Service.

Sempre secondo Reuters, un rilascio immediato di chiavi di decrittazione che possano aiutare le aziende colpite a recuperare i propri file appare improbabile: la partita sarebbe ora in mano agli affiliati di REvil che, in assenza del motore principale, altro non possono fare se non monetizzare le aziende già sotto scacco. Due i casi: pagamento del riscatto o vendita dei dati.

È di pochi giorni fa un rapporto del dipartimento del Tesoro degli Stati Uniti che ha individuato soltanto nel primo semestre dell’anno in corso transizioni di bitcoin in uscita per un valore totale di circa 5,2 miliardi di dollari (pari a 4,5 miliardi di euro) che probabilmente sono legate alle prime dieci varianti di attacchi ransomware più comunemente segnalate.

Quel documento è stato pubblicato a poche ore di distanza dalla Counter-Ransomware Initiative, riunione convocata dall’amministrazione statunitense di Joe Biden in occasione del mese della consapevolezza sulla sicurezza cibernetica e tenutasi la scorsa settimana con la partecipazione di 32 governi. Il documento finale suona come un avvertimento proprio alla Russia, ma anche alla Cina, come raccontato su Formiche.net. Ma anche come un’unione d’intenti tra Paesi alleati e partner che potrebbe aver avuto nel caso REvil la sua prima attuazione.