Eccoci alla puntata numero 62 di Cronache Digitali: oggi un approfondimento su una cyber gang criminale che nelle ultime settimane si è messa in evidenza. Ho cercato di ricostruire il perimetro in cui operano questi criminali informatici, anche grazie ad una breve conversazione che ho avuto con un membro del gruppo.

Ricordo che la puntata è disponibile anche in Podcast, come sempre.

🙏
Questo blog ed il podcast, sono gratuiti ed "indipendenti", ovvero senza alcuna sponsorizzazione e vengono realizzati nel mio tempo libero. Se vuoi sostenermi in questo progetto divulgativo, con un piccolo contributo (quasi simbolico!) puoi farlo iscrivendoti ad un piano a pagamento, che tra l'altro puoi annullare quando vuoi (e comunque riceverai sempre gli aggiornamenti!)

Quello che vedete qui sopra è uno screenshot della chat che ho avuto alcune settimane fa con un membro della cyber gang Lapsus$, o almeno così si è presentato.

Ricordo che in questi ambiti è sempre importante verificare le fonti delle informazioni e delle identità con cui si ha a che fare: quando questo non è possibile è necessario essere cauti.

Nel caso specifico, la chat è quella "ufficiale" che la cyber gang utilizza (o utilizzava... vedremo dopo il perché) per reclutare nuovi affiliati o insider, quindi abbiamo una buona probabilità che dall'altra parte ci sia effettivamente qualcuno membro del gruppo Lapsus$.

Il contenuto di questo messaggio mette già in evidenza un paio di punti importanti relativi a questa cyber gang, ma è necessario che prima vi spieghi come è nato questo dialogo.

Partiamo quindi dall'inizio.

Chi sono le "cyber gang"?

Le cyber gang sono delle organizzazioni criminali che - utilizzando strumenti informatici o cyber-armi come spesso vengono chiamate  - attaccano aziende di qualsiasi dimensione con l'obiettivo di ricavarne un guadagno economico.

La maggior parte degli attacchi svolti da queste cyber gang è rivolto al mondo aziendale perché appunto ha una finalità prettamente economica: ci sono poi anche gruppi che si muovono a fini di propaganda, di attivismo o per attività di spionaggio, colpendo quindi organi governativi. Ma non è questo il caso.

Ho individuato in queste cyber gang, tre macro caratteristiche:

  1. Le definisco organizzazioni "liquide", in quanto hanno sì una base operativa, un territorio dove risiedono i livelli più alti, ma sono poi composte da una moltitudine più o meno ampia di affiliati, sparsi in tutto il mondo.
  2. Il modello di business è oramai consolidato nella doppia estorsione: prima un attacco ransomware che blocca l'operatività dell'azienda, poi una secondo riscatto chiesto per non pubblicare i dati prelevati. Proprio per questo motivo, ogni cyber gang ha un proprio Data Leak Site (DLS), come viene chiamato, ovvero un sito web - spesso nel dark web - dove pubblica il nome della vittima ed i dati che ha rubato.
  3. Operano "a catena": essendo mosse da un fine prettamente economico, non c'è quasi mai una preselezione del target. Spesso il bersaglio non è altro che una azienda in qualche modo collegata ad un'altra che è stata colpita, in quanto sono riusciti a recuperare informazioni tra le due. E' quello che viene chiamato attacco alla supply chain, anche se a me piace definirlo attacco a catena: con i dati prelevati dalla vittima è possibile tentare nuovi attacchi a tappeto verso chiunque: fornitori, clienti, partner, concorrenti.

Lapsus$ entra in scena, ma con alcune differenze.

Secondo quanto risulta da alcuni report, in particolare quello di Unit42, una delle prime attività criminali di Lapsus$ venne svolta nell'Agosto del 2021, dove alcuni utenti di telefonia mobile in UK ricevettero un SMS che annunciava in qualche modo l'inizio delle attività di Lapsus$ dicendo di essere in possesso del codice sorgente di alcune compagnie telefoniche UK.

A Dicembre 2021 la prima vittima eccellente, ovvero il ministero della salute in Brasile:

Più di 50 TB di dati esfiltrati e cancellati dai server. A seguire, gli attacchi verso i provider telefonici brasiliani Claro ed Embratel.

Una delle prime differenze, se così possiamo dire, rispetto alle cyber gang tradizionali è che Lapsus$ non ha un Data Leak Site dove pubblica i nomi delle vittime ed i dati rubati attuando così il modello della doppia estorsione.

Sembra infatti che Lapsus$ abbia in realtà già una serie di clienti, ovvero chi compra le informazioni rubate: loro si limitano "solo" a reperirli e a venderli.

A rafforzare questa ipotesi, anche quanto viene detto dall'operatore Lapsus$ che ho contattato:

Sembra chiaro quindi che il loro obiettivo sia quello di prelevare i dati, "nulla di pericoloso".

Il "nulla di pericoloso" si riferisce al dubbio che avevo posto loro, fingendomi un possibile insider. Già, perché Lapsus$ alcune settimane fa ha pubblicato un annuncio sul canale Telegram che usa come mezzo principale di comunicazione, dove cercava persone disponibili a fornire accesso a sistemi aziendali, dietro il pagamento di una somma da concordare.

l'annuncio di Lapsus$

Alla mia obiezione sul fatto che fosse pericoloso fornire loro delle credenziali che sono personali e quindi riconducibili alla persona che ha commesso il reato, la risposta è stata tanto semplice quanto "geniale":

"Se ti scoprono puoi sempre dire che qualcuno ha hackerato il tuo PC e rubato le tue password".

Ora, questo scenario se ci pensiamo è ciò che accade molto spesso quando si scopre che un attacco informatico è stato portato a termine a causa di credenziali di accesso non custodite a dovere o poco robuste.

Questo post è solo per gli iscritti

Iscriviti ora per leggere il post e far parte della community. E' gratis, veloce e sicuro.

Iscriviti ora Hai già un account? Accedi