L'Fbi spegne i criminal hacker di Hive che attaccarono Fs e Mediaworld

L'intelligence americana riesce a distruggere l'infrastruttura tecnologica della temuta cybergang che aveva colpito anche in Italia, ma nessun arresto. Pierguido Iezzi, ceo di Swascan del gruppo Tinexta. «E' stata a tutti gli effetti una operazione di difesa attiva, così come prevista dall’articolo 37 del Decreto Aiuti-bis entrato In vigore dal 22 settembre 2022».L’intelligence degli Stati Uniti smonta Hive, una delle gang di criminal hacker più prolifiche al mondo. Ha raccolto almeno 100 milioni di dollari in estorsioni, ricattando scuole, ospedali e infrastrutture strategiche in tutto il mondo, tra cui anche le nostre Ferrovie dello Stato o Mediaworld e chiedendo ricatti da milioni di dollari. Ma il Federal Bureau of Investigation (Fbi), grazie al suo dipartimento specializzato in Cybersecurity, è riuscito a infiltrarsi dentro Hive già nel luglio dello scorso anno e da giovedì scorso il sito web del gruppo di criminali informatici è sotto sequestro. L'Fbi non ha annunciato alcun arresto, ma sta ancora indagando sulla gang. Il direttore Christopher Wray e il procuratore generale Merrick Garland hanno annunciato l'azione in una conferenza stampa. È una delle gang più attive, insieme a Conti e Lockbit. Nell’ultimo trimestre del 2022 erano stati calcolati almeno 700 obiettivi colpiti ed esposti alla pubblicazione dei dati in 76 paesi, di cui 242 nel solo mese di settembre con una crescita del 116% rispetto ai 112 attacchi registrati a gennaio dello stesso anno. Si calcolano siano 36 i gruppi ransomware che utilizzano il data leak in attività censiti tra luglio e settembre, con un aumento del 16% rispetto ai 31 del secondo trimestre.La parte del leone, a inizio 2022, l’aveva fatta Conti Team, per poi cadere nell’oblio a pochi giorni dall’attacco di Mosca contro Kiev. Altra è la cyebrgang russa LockBit, con il 33.4% dei data leak nel terzo trimestre. Distanziata al secondo posto si trova BlackBasta, di probabile origine sudafricana, con il 7.7%, e al terzo posto a parimerito Alphv/BlackCat e Hive con il 6.8% di data leak ciascuna. «L’operazione ha garantito la rimozione dell’infrastruttura tecnologica criminale ma non ci sono stati arresti. Questa è la nota che dovrebbe preoccuparci. Come abbiamo già vissuto in passato, molto probabilmente gli appartenenti della Gang Hive migreranno verso altre gang di cyber criminali o andranno a costituire delle nuove start-up ransomware, forti soprattutto della loro competenza ed esperienza acquisita. Come la testa mozzata di una idra, andranno a potenziare alcuni attori malevoli o, peggio ancora, si sdoppieranno obbligandoci ad affrontare un numero maggiore di minacce» spiega Pierguido Iezzi, ceo di Swascan del gruppo Tinexta.«Questo non è il primo successo contro i Criminal hacker: già nell’estate del 2021, l'Fbi e un governo straniero avevano violato i server di REvil. Anche in questo caso però l’operazione era guidata dall’Fbi» . Gli aspetti positivi, tuttavia, compensano questa preoccupazione. Secondo Iezzi «l’operazione è un chiaro messaggio di forza, un avvertimento a tutti i criminali informatici e, soprattutto, alle gang ransomware, il cui ruolo al giorno d’oggi – in alcuni casi – è al confine tra la semplice illegalità e la cobelligeranza nel conflitto ucraino. La consapevolezza delle capacità, competenze e tecnologie necessarie a contrastare i criminal hacker e i cyber soldier è ormai assodata. Non è sorprendente, né nuovo che molti gruppi di cybercriminali, dopo aver raggiunto una certa fama, e dopo aver attirato troppo l’attenzione delle forze dell’ordine, preferiscano scomparire nell’ombra. Conti era già una “idra”: esso era nato nel 2020 dalle ceneri del gruppo ransomware Ryuk, e alcuni appartenenti del gruppo Conti sembra siano transitati proprio in Hive». Non solo. «In secondo luogo» aggiunge Iezzi. «è stata a tutti gli effetti una operazione di difesa attiva, nello spirito di quanto previsto anche nel nostro Paese dall’articolo 37 del Decreto Aiuti-bis entrato In vigore dal 22 settembre 2022 (Legge n. 142/2022)».Del resto, «questa operazione dimostra e conferma quanto sia necessario dotarsi di un solido telaio di competenze, strumenti, infrastrutture tecnologiche, organizzazione e flussi decisionali per rispondere alle minacce cyber, presenti e future, che potrebbero gravare sul nostro Paese. Tuttavia, essa mette in luce i potenziali rischi delle operazioni transazionali digitali ovvero quelle che riguardano asset digitali che si trovano al di fuori del paese. La necessità di autorizzazioni giuridiche per agire su questi asset può essere complessa e rappresenta una sfida per le forze dell'ordine. È quindi importante che i governi e le forze dell'ordine continuino a lavorare insieme per sviluppare le capacità e le autorizzazioni necessarie per contrastare efficacemente il cybercrime globale». E infine: «Il tutto è avvenuto nel contesto di una maggiore cooperazione internazionale e di una più stretta condivisione delle informazioni tra le forze dell'ordine. La natura globale del cybercrime richiede un'azione globale, e questa operazione è stata probabilmente possibile solo grazie alla collaborazione tra diverse agenzie governative e forze dell'ordine in diversi paesi» conclude Iezzi.