L’unità di cybersecurity Cisco Talos è riuscita a entrare in contatto e intervistare un hacker noto per utilizzare il ransomware LockBit per spillare soldi alle sue vittime. Aleks, questo il nome fittizio con cui si è fatto identificare, sembra incarnare lo spirito dell’hacker “romantico”: ha circa 30 anni e ha imparato a penetrare sistemi informatici da autodidatta. Per alcuni anni ha lavorato nel settore It: all’inizio del 2000 ha acquisito una buona conoscenza della rete e dei suoi protocolli e ha cominciato a concentrarsi sui linguaggi markup e scripting come Html, Css e JavaScript, insieme allo studio di piccoli framework web come CodeIgniter. Queste conoscenze tecnologiche lo hanno aiutato a trovare lavoro in una società It mentre finiva il suo corso di laurea e, dopo averla conseguita, ha continuato a lavorare nel settore.
La frustrazione per un lavoro dove non si sentiva apprezzato e uno stipendio non adeguato alle sue competenze lo hanno spinto a dedicarsi al crimine.
Quello che emerge dall’intervista è che gli hacker puntano sui bersagli più semplici, sia dal punto di vista tecnico, sia per la predisposizione a pagare. Ecco quindi che l’attenzione dei criminali informatici è incentrata sui sistemi non ancora “patchati”, e quindi più facili da penetrare, soprattutto gli ospedali. Il motivo è presto detto: non sono particolarmente protetti e nell’80/90% dei casi, tendono a pagare il riscatto.
Interessante il punto di vista di Aleks sul Gdpr che mostra anche come mai gli attaccanti spesso prediligano bersaglio in Europa: anche in questo caso le aziende tendono a essere più disposte a pagare il riscatto per evitare conseguenze legali. Negli Stati Uniti, al contrario, l’obbligo di segnalare alle autorità tutte le violazioni subite rende le vittime meno propense a pagare.
Emerge anche un dettaglio interessante: questi attori malevoli lavorano seguendo il modello del franchising. Aleks spiega infatti che l’utilizzo del ransomware Lockbit presuppone un processo di selezione e una condivisione degli utili, che possono essere anche significativi a chi gestisce l’affiliazione: i gestori di Maze (ransomware ora non più attivo) trattenevano fino al 35% dei profitti generati da attacchi ransomware dei suoi affiliati. Una percentuale così elevata rispetto ad altri gruppi che ha scoraggiato alcuni hacker dal lavorare con loro.
L’intervista completa è disponibile a questo indirizzo.