Il collettivo REvil – abbreviativo di Ransomware Evil – noto operatore Ransomware-as-a-Service e l’omologo Conti sono stati tra i più diffusi, e al contempo nocivi, vettori di cyber-intrusioni degli ultimi anni per mezzo dei quali sono stati perpetrati attacchi tra gli altri rispettivamente a JBS ed Acer per il primo, al Comune di Torino per il secondo.
Nati entrambi nel 2020 con uno schema imprenditoriale per il quale i ricavi dei ricatti online venivano ripartiti tra gli affiliati, che si occupavano di condurre gli attacchi, e gli sviluppatori, che si adoperavano per migliorare costantemente le loro armi digitali, hanno raggiunto l’apice con la pandemia.
REvil è poi scomparso una prima volta nel luglio 2021, dopo essere stato preso di mira da forze dell’ordine e, dopo essere tornato brevemente online nel settembre dello stesso anno, il FSB russo ha dichiarato lo scorso gennaio di aver smantellato il collettivo – da alcuni ritenuto parastatale – e di aver accusato alcuni dei suoi membri.
Secondo alcuni analisti informatici dalle sue ceneri si sono sviluppati nuovi gruppi cybercriminali:
- Ransom Cartel, il cui malware si basa su un codice sorgente molto simile a quello di REvil che, a detta degli ex appartenenti, era ritenuto segreto;
- BlogXX che, come riportato da Bleepling Computer, ha un pezzo di codice malware identico a quello di REvil al punto da ipotizzare che dietro vi sia uno dei creatori di quest’ultimo;
- Spectre, infine, che ha un ransomware che è stato codificato per falsificare REvil o, come ritengono alcuni, potrebbe veramente derivare dal codice REvil modificato.
Quanto a Conti invece, questo è risultato molto meno attivo nel 2022 dopo che ha dichiarato di difendere gli interessi della Russia – insieme a XakNet – nel conflitto con l’Ucraina, sia per via del massiccio calo dei pagamenti dei riscatti, sia per l’ “attenzione” ricevuta dal governo americano che nel maggio scorso ha fissato una ricompensa di 10 milioni di dollari per chi fornisce informazioni attendibili sul gruppo.
Spin-off di Conti, o presunti tali, sono tra gli altri Quantum, Silent Ransom, Roy/Zeon, Bazarcall… quest’ultimo ha rappresentato una tecnica di “callback phishing” in cui i criminali, impersonando dei tecnici di software house, contattano le vittime provando ad indurli a fargli installare software di controllo remoto con la scusa di fare verifiche o aggiornamenti ma che, attraverso di questi, infettano il computer tentando di penetrare l’intera rete.
Nell’ultimo rapporto dell’Advanced Intelligence Inc. si legge che prima il gruppo ex BazarCall si è staccato da Conti nell’aprile scorso ribattezzandosi Silent Ransom e poco dopo, a giugno, Quantum – spin off di Conti Team Two – ha iniziato ad utilizzare una tecnica analoga chiamandola Jörmungandr mentre Roy/Zeon si è separato da Conti Team One andando ad adottare le medesime tecniche d’attacco.
Tra i gruppi il più intraprendente sembra Quantum che, oltre ad utilizzare il callback phishing, ha perfezionato il malware ed ha costruito un’alleanza con botnet Emotet, il che gli ha permesso di essere, tra gli eredi di Conti, quello di maggior successo.
