Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Aprile! Scopri di più
BlackCat Ransomware, tradimento interno: esperti di cybersecurity condannati per attacchi e estorsioni milionarie
Il caso BlackCat ransomware torna al centro dell’attenzione per una vicenda che evidenzia un rischio spesso sottovalutato nella cybersecurity: l’abuso interno di competenze e accessi. Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la condanna a quattro anni di carcere per due professionisti del settore che nel 2023 hanno facilitato attacchi ransomware BlackCat, noto anche come ALPHV, contro più vittime distribuite sul territorio statunitense.
Secondo le informazioni rese pubbliche, gli imputati hanno operato tra aprile e dicembre 2023 distribuendo il ransomware e sfruttando la piattaforma di estorsione associata al gruppo. Il modello era quello tipico del ransomware as a service, in cui gli affiliati conducono le intrusioni e condividono una percentuale dei riscatti con gli amministratori del servizio. In questo caso, l’accordo prevedeva una quota del 20% ai gestori di BlackCat in cambio dell’accesso agli strumenti e all’infrastruttura per la doppia estorsione, con cifratura dei sistemi e furto di dati sensibili.
Un elemento chiave della vicenda è che tutti i soggetti coinvolti lavoravano nel settore della sicurezza informatica, quindi con competenze specifiche nella protezione dei sistemi e nella risposta agli incidenti. Questo aspetto rafforza il tema insider threat, perché dimostra come conoscenze avanzate possano essere riutilizzate per massimizzare l’impatto di un attacco ransomware, dalla selezione dei bersagli alle tecniche di pressione durante la trattativa.
In almeno un episodio, gli attaccanti avrebbero ottenuto circa 1,2 milioni di dollari in Bitcoin, per poi ripartire i proventi e avviare attività di riciclaggio con l’obiettivo di occultare la provenienza dei fondi. Anche se lo schema BlackCat RaaS non risulta più operativo, al gruppo sono stati attribuiti attacchi contro oltre 1000 vittime a livello globale, confermando la portata industriale del cybercrime basato su estorsione.
La vicenda include anche il ruolo di un negoziatore che avrebbe sfruttato informazioni riservate sulle polizze assicurative delle vittime per favorire richieste di riscatto più elevate, un dettaglio che mette in luce quanto la gestione delle informazioni interne e dei processi di incident response sia critica quanto le difese tecniche.