Il cyber crime è diventato per qualunque organizzazione uno dei più gravi rischi[1] per le nefaste conseguenze sia economiche sia reputazionali che ne possono derivare all’improvviso: uno scenario capace di compromettere la sussistenza stessa dell’organizzazione, specie se non preparata a gestire questo tipo di eventi.
Criminal hacker: tentativo di inquadramento strategico
Se il rischio cyber rappresenta per le organizzazioni uno dei problemi maggiori, questo rischio non può essere gestito semplicemente non accettandolo, perché questo comporterebbe la cessazione dell’attività stessa dell’organizzazione, che per il suo funzionamento ha bisogno di condividere ed elaborare informazioni tramite sistemi informatici.
Tutela il tuo business: scopri i livelli di rischio per Paese e settore produttivo
Si tratta, quindi, di un rischio intrinseco ad ogni attività in cui vi è l’elaborazione di dati informatici, specie se esposti in rete, situazione che ricorre quasi sempre: l’unica strada è cercare di mitigarlo per quanto possibile, nel migliore dei modi.
Per mitigare in modo efficace un qualunque rischio in modo da renderlo accettabile, è necessario fare un’analisi per comprenderlo: nell’ambito del cyber crime appare fondamentale un approccio di “inquadramento strategico”, volto a distinguere questo fenomeno in relazione ai fini criminali, alle strategie e alle tattiche utilizzate.
Cyber gang: chi sono e come agiscono i gruppi criminali più pericolosi
Distinzione del cyber crime in relazione al fine criminale
Il primo criterio di classificazione del cyber crime è proprio il fine che determina a sua volta le strategie e le tattiche utilizzate.
Infatti, i criminal hacker non sono un gruppo unitario, ma si manifestano secondo modalità differenti in relazione al fine criminale perseguito, elemento che consente una distinzione tra di essi.
Provando a sintetizzare una classificazione tra i criminal hacker proprio in relazione al fine criminale, connotati da pericolosità per le organizzazioni, si può distinguere:
- Script kiddie: è un giovane, spesso inesperto (chiamato allora “green hat” cappello verde) che viola sistemi informatici anche in modo casuale, per la ricerca dell’avventura o di sfida, senza preoccuparsi delle conseguenze anche gravi che cagiona, utilizzando programmi di facile utilizzo che trova gratuitamente in rete. Spesso prendono ispirazione da criminali hacker più esperti, cercando di emulare le loro azioni senza una comprensione approfondita dei dettagli tecnici coinvolti. Il fine criminale è la ricerca di emozioni forti, tramite la trasgressione alle regole, che porta ad imprevedibilità della condotta criminale e degli obiettivi prescelti, ma non per questo meno pericoloso per la vittima che riceve l’attacco. Nella storia dell’hacking, la maggior parte degli hacker agli inizi rientrava in questa categoria, prima di sviluppare competenze più avanzate o di spostarsi verso obiettivi criminali più mirati.
- Hacktivisti o “red hat”: si tratta di criminal hacker che violano i sistemi informatici per promuovere cause politiche o sociali, che è il loro fine criminale ultimo. In questo caso la vittima viene selezionata all’interno di target precisi, specie per quello che rappresenta a livello politico o sociale o per determinate prese di posizione in tali ambiti. Un elemento tipico è la rivendicazione che appare visibile o direttamente nel sito o canale social della vittima oppure diffuso su più canali, quasi sempre tramite internet e in modalità anonima, informando in particolare i mass-media che possono fare da cassa di risonanza e promuovere così la causa oggetto della rivendicazione.
- Insider: si tratta di persone che lavorano all’interno di un’organizzazione e che abusano delle loro autorizzazioni per rubare dati riservati o danneggiare sistemi. Il fine criminale può essere diverso, ad esempio la vendetta per essere stati licenziati o demansionati o per fini economici, come rivendere i dati a terzi oppure utilizzarli per iniziare una nuova attività professionale[2]. La caratteristica principale è l’occasionalità del crimine collegato a situazioni contingenti e dove emerge spesso imperizia delle operazioni compiute che lasciano tracce informatiche;
- Cyber war hacker: si riferisce a una persona o un gruppo di criminal hacker che hanno il fine criminale di attaccare obiettivi di natura militare o istituzionale, con l’obiettivo di danneggiare l’infrastruttura critica del paese o di ottenere informazioni sensibili e collaborano con governi che ne sono ispiratori o promotori. Il target della vittima è strettamente connesso con il fine criminale e riguarda istituzioni o anche organizzazioni che svolgono servizi critici per un paese, cui vanno ricompresi anche i relativi fornitori, in quanto possono avere informazioni riservate o comunque con i loro servizi, permettono alle prime di svolgere l’attività critica.
- Competitive hacker: hanno il fine criminale di danneggiare o sabotare la reputazione o le attività di un concorrente per ottenere un vantaggio competitivo. Agiscono soprattutto distruggendo sistemi informatici o carpendo di nascosto informazioni commerciali o segreti industriali. Questa tipologia criminale può comportare l’ingaggio di hacker o insider e può consistere anche nello spionaggio industriale.
- Economy criminal hacker, individuando, con tale espressione, criminali informatici che svolgono la loro attività con l’unica finalità di ottenere vantaggi economici illeciti dalle vittime, soprattutto pagamenti tramite criptovaluta, specie bitcoin, frutto di estorsioni o in valuta tradizionale tramite truffe informatiche[3].
Economy criminal hacker: un fenomeno in crescita
Il panorama è piuttosto ampio e di molti gruppi di cyber criminali si conoscono già approfonditamente le modalità di azione.
In questa sede e nei prossimi articoli che seguiranno con cadenza settimanale, è utile concentrarsi soprattutto sull’ultima categoria, gli “economy criminal hacker” andando a esaminare le strategie e le tattiche impiegate per realizzare il loro fine criminale che, come detto, è rivolto a perseguire una finalità economica in particolare: ottenere dalle vittime pagamenti in valuta fiat o in criptovalute (principalmente bitcoin)[4].
Questa scelta perché gli economy criminal hacker sono un fenomeno criminale in costante crescita e tra i più pericolosi per le organizzazioni, specie private. Questo fenomeno ha guadagnato notorietà e dimensioni preoccupanti grazie all’uso diffuso delle criptovalute, che complicano notevolmente l’identificazione dei beneficiari delle transazioni.
È evidente che questa metodologia di inquadramento strategico potrà essere utilizzata, per quanto applicabile, anche per gli altri fenomeni criminali sopra descritti.
NOTE
Per il secondo anno consecutivo, i rischi del cyber crime, come gli attacchi ransomware, le truffe BEC, le violazioni dei dati e gli incidenti informatici, sono in testa ai più importanti rischi a cui le organizzazioni sono sottoposte, sia in Italia sia a livello globale; fonte Allianz Risk Barometer 2023, qui. ↑
Un interessante precedente (Cass. pen., Sez. V, 02/10/2020, n. 34296) esamina il caso di un socio di uno studio commercialista e nel contempo di una società di servizi contabili, che aveva effettuato il backup di tutti i dati dello studio e della società con lo scopo poi di aprire un’attività in proprio. Nel precedente si afferma che l’accesso ai predetti sistemi informatici “deve essere eseguito per il perseguimento degli scopi propri dell’associazione e della società personale, per cui l’aver acceduto a quei sistemi per estrapolarne i dati in esso contenuti e servirsene per finalità esclusive concreta un accesso abusivo, sanzionabile ai sensi della norma suddetta” Quindi il socio è stato condannato per il reato di accesso abusivo a sistema informatico ex art. 615-ter codice penale. Per un approfondimento vedi “Quando l’hacker è il tuo (ex)dipendente o il tuo socio“. ↑
Queste categorie determinano una distinzione in relazione al fine criminale che è utile poi per capire meglio le strategie e tattiche utilizzate per raggiungerlo, ma questo non esclude che uno stesso gruppo possa avere più fini criminali. Un caso eclatante è emerso in relazione al conflitto Russia-Ucraina dove molti criminal hacker non si sono più limitati a commettere crimini informatici per scopi economici, ma si sono trasformati in attori chiave nelle operazioni di guerra cibernetica tra nazioni ibridandosi in cyber war hacker. ↑
La gang Lockbit, ad esempio, ha pubblicato nel dark web il proprio programma di affiliazione in 20 lingue, specificando in modo cristallino il fine criminale:
“Siamo situati nei Paesi Bassi, completamente apolitici e interessati solo al denaro.
Abbiamo sempre una quantità illimitata di affiliati, spazio sufficiente per tutti i professionisti. Non importa in quale paese viviate, che tipo di lingua parliate, che età abbiate, in quale religione crediate: chiunque sul pianeta può lavorare con noi in qualsiasi momento dell’anno…” ↑
@RIPRODUZIONE RISERVATA