Trickbot: la Gang russa di ransomware

Il 24 ottobre 2020 si bloccarono le reti telefoniche e informatiche di tre ospedali del Ridgeview Medical Center, in Minnesota, l’azienda medica statunitense pubblicò un post su Facebook per avvertire i suoi pazienti dell’interruzione. Il guasto alle strutture mediche non era però dovuto a un problema tecnico: diversi dettagli collegarono rapidamente l’evento a uno dei gruppi di ransomware più famosi della Russia. Wired UK è riuscito a consultare centinaia di messaggi che si sono scambiati membri del gruppo Trickbot, riguardo la vulnerabilità delle azienda sanitarie e degli ospedali. Il loro obiettivo era costringere gli ospedali, impegnati a gestire l’aumento dei casi nella pandemia da Covid-19, a pagare rapidamente i riscatti. Gli attacchi spinsero diverse agenzie federali statunitensi, tra cui la Cybersecurity and Infrastructure Security Agency e l’Fbi, a diffondere messaggi di allerta urgenti. Dall’invio di questi messaggi, il gruppo ha ampliato le sue operazioni e sviluppato il suo malware. Sebbene i Servizi di sicurezza federali russi abbiano recentemente arrestato i membri del gruppo di ransomware REvil, a seguito dell’attività diplomatica del presidente americano Joe Biden e quello russo Vladimir Putin, a oggi il nucleo di Trickbot non è praticamente mai stato colpito. Trickbot si è formato separandosi dal gruppo che gestiva il trojan bancario Dyre, quando, intorno alla fine del 2015, i membri di Dyre furono arrestati. La banda sviluppò il trojan originale facendolo diventare un toolkit multiuso per attacchi informatici. Sempre secondo Wired UK, dietro alle operazioni del gruppo si nascondono cinque o sei criminali, ognuno con una specifica mansione. Leggendo le conversazioni possiamo capire in che modo il gruppo ha stabilito nel corso del tempo relazioni esterne, creando veri e propri annunci di lavoro pubblicati sul forum del dark web, per reclutare programmatori. Inoltre il gruppo ha creato tre aree principali: due uffici “uno principale e uno nuovo per la formazione” sarebbero stati utilizzati per le spese degli attuali operatori e per l’espansione. “Gli uffici degli hacker”, dove lavoravano più di venti persone, sarebbero stati utilizzati per i colloqui, le attrezzature e infine ci sarebbe stato un ufficio per i “programmatori” e le loro attrezzature. Dall’inizio del 2022 il team di sicurezza Ibm ha visto Trickbot incrementare le sue difese e nascondere la sua attività. All’inizio dell’anno, inoltre, l’Fbi ha formalmente collegato l’uso del ransomware Diavol a Trickbot. “Trickbot non sembra prendere di mira obiettivi specifici: penso che abbiano numerosi affiliati che collaborano con loro, e che chi porta più soldi sia il benvenuto”, ha detto Kessem.