Ransomware, come funziona uno dei più grandi gruppi di cybercriminali al mondo

Trickbot si è formato separandosi dal gruppo che gestiva il trojan bancario Dyre, quando, intorno alla fine del 2015,  i membri di Dyre furono arrestati. La banda sviluppò il trojan originale facendolo diventare un toolkit multiuso per attacchi informatici; i singoli moduli, che operano come dei plugin, consentono ai suoi utilizzatori di impiegare i ransomware Ryuk e Conti, mentre altre funzioni permettono di eseguire keylogging (ovvero la registrazione dei tasti digitati da un utente con la sua tastiera) e raccolta di dati. “Non conosco altre famiglie di malware con così tanti moduli o funzionalità estese“, ha spiegato Vlad Pasca, un analista che si occupa di malware presso la società di sicurezza informatica Lifars e che ha ricostruito il codice sorgente di Trickbot. Questo livello di sofisticazione ha aiutato il gruppo, conosciuto anche come Wizard Spider, a estorcere milioni di dollari alle proprie vittime.

Al centro delle operazioni di Trickbot c’è un nucleo di cinque-sei criminali, secondo i documenti esaminati da Wired Uk e da esperti di sicurezza che studiano il gruppo. Ogni membro è specializzato in un’area specifica, come la gestione di team di programmatori o la direzione degli attacchi via ransomware. A capo dell’organizzazione c’è Stern (come per tutti gli pseudonimi utilizzati in questo articolo, il nome reale, o i nomi, dei membri del gruppo sono sconosciuti. Si tratta, tuttavia, delle identità che il gruppo assume quando comunica internamente).

“È il capo di Trickbot“, ha raccontato Alex Holden, che è l’amministratore delegato della società di cybersicurezza Hold Security e ha familiarità con le dinamiche interne al gruppo. Stern funge da ad di Trickbot e comunica con altri membri che hanno un livello analogo. É anche possibile che rispondano ad altri individui la cui identità è sconosciuta, ha detto Holden, che ha poi aggiunto: “Stern non entra molto nelle questioni tecniche. Vuole resoconti e maggiore comunicazione. Vuole occuparsi delle decisioni di alto profilo“.

Il 20 agosto 2020, i registri delle chat – forniti da una fonte nel campo della cybersicurezza che ha familiarità con il gruppo – mostrano Target dare ragguagli a Stern su come il gruppo si sarebbe ampliato nelle settimane seguenti: “Ci saranno di sicuro sei uffici e cinquanta-ottanta persone entro la fine di settembre“, ha scritto Target in uno di una serie di diciannove messaggi. Si ritiene che questi uffici si trovino nella seconda città della Russia, San Pietroburgo. Kimberly Goody, direttrice delle analisi sui reati informatici della società di sicurezza Mandiant, sostiene che il gruppo “molto probabilmente” ha una presenza significativa nella città. Secondo le stime attuali Trickbot conta dai cento ai quattrocento membri, cifra che ne fa uno dei più grandi gruppi di cybercriminali esistenti.

I messaggi tra Target e Stern mostrano come a metà del 2020 il gruppo investisse in tre aree principali. Due uffici – “uno principale e uno nuovo per la formazione” – sarebbero stati utilizzati per le spese degli attuali operatori e per l’espansione. “Gli uffici degli hacker“, dove lavoravano più di venti persone, sarebbero stati utilizzati per i colloqui, le attrezzature, i server e le assunzioni, ha spiegato Target. Infine, ci sarebbe stato un ufficio per i “programmatori” e le loro attrezzature. “Un caposquadra valido è già stato assunto, e aiuterà a mettere insieme la squadra – aveva continuato Target –. Sono sicuro che tutto questo darà i suoi frutti, quindi non sono nervoso“.