La caduta dell’illusione della Russia come “porto franco” per i gruppi ransomware è al centro della più recente analisi dell’Insikt Group. La ricerca descrive come il Cremlino abbia smesso di ignorare il cybercrimine e stia oggi iniziando a gestirlo, regolandone gli spazi, misurandone l’utilità per deciderne il destino sulla base di una logica eminentemente politico-strategica. Un calcolo tra costi e opportunità, al cuore della trasformazione che gli analisti di Recorded Future definiscono “Dark Covenant 3.0”, dove l’impunità non è più garanzia ma privilegio condizionato.

La ragion di Stato digitale

Il cambiamento nasce dall’impatto dell’operazione internazionale Endgame, avviata nel maggio del 2024 e proseguita fino al 2025, che ha colpito l’intera filiera del ransomware russo, dai software di accesso iniziale alle botnet fino ai servizi di riciclaggio associati. Mosca ha risposto con arresti e sequestri a forte valore mediatico, nel tentativo di mostrare collaborazione senza però toccare il nucleo più strategico del proprio ecosistema criminale. Secondo il rapporto, questo atteggiamento selettivo rivela una vera e propria politica di protezione calibrata sugli interessi dello Stato, che identifica chi può essere sacrificato e chi invece resta sotto scudo istituzionale.

Gli esempi parlano chiaro. Quando a cadere sono stati i gestori di piattaforme di monetizzazione come Cryptex e Uaps, privi di reale valore informativo per l’apparato di sicurezza, le autorità russe hanno agito con rapidità e visibilità. Eppure gli investigatori, secondo la stessa comunità underground, monitoravano da tempo quelle infrastrutture. Se due indizi fanno una prova, ciò induce a ritenere che l’intervento sia stato opportunistico, utile a reagire, di facciata, alla pressione occidentale dopo l’esposizione pubblica di Operation Endgame, ma non motivato da un reale ripensamento politico nei confronti del cybercrimine.

Lo scenario si modifica quando si tratta di grandi gruppi ransomware legati alla “vecchia guardia” russa, come Conti e Trickbot, che rappresentano un serbatoio di competenze e canali d’accesso unici al cyberspazio occidentale. Recorded Future sostiene che alcuni esponenti di questi network mantengano da anni rapporti funzionali con apparati di intelligence russi, fornendo dati, eseguendo tasking mirati o godendo di protezioni ottenute tramite corruzione e legami politici. Gli arresti avvenuti in Russia dopo le traduzioni internazionali dei mandati sarebbero stati parziali, ambigui, spesso seguiti da rilasci rapidi e da un silenzio quasi totale sui media locali. Ancora, indizi di una tutela che il Cremlino non intende cessare, perché Conti e Trickbot sono risorse strategiche nel contesto della competizione ibrida con l’Occidente.

La stessa relazione cita episodi che dimostrano come l’attività dei gruppi ransomware non sia stata solo motivata dal profitto. Attacchi contro entità come Bellingcat o contractor statunitensi della sicurezza hanno mostrato un numero di elementi in comune troppo elevato per essere casuale. La criminalità informatica, strumento di influenza e fonte di intelligence a basso costo, è utile a comprimere gli spazi di sicurezza occidentali senza l’assunzione diretta di responsabilità da parte dello Stato russo. E trovare cyberattori abili e capaci è quanto mai un asset per le strategie del Cremlino. Se utili, perchè fermarli? Il risultato è una conseguenza diretta del passaggio da impunità totale a impunità contrattata.

La Russia oggi non garantisce impunità a tutti, solo a chi è disposto a servire l’interesse nazionale. È un modello che offre al Cremlino uno strumento di pressione flessibile, plausibilmente negabile ed economicamente vantaggioso.