Negli ultimi anni, gli attori delle minacce informatiche hanno intensificato gli attacchi volti a diffondere malware e raccogliere informazioni, spesso per motivi finanziari. Tuttavia, un nuovo sviluppo ha attirato l'attenzione dei ricercatori di sicurezza informatica: hacker sponsorizzati dallo stato, originariamente incaricati di operazioni di spionaggio, ora si dedicano anche al ransomware. Questo fenomeno, noto come "moonlighting", si riferisce a dipendenti che utilizzano risorse aziendali per un secondo lavoro senza che il datore di lavoro principale ne sia a conoscenza, causando perdite di risorse come tempo e software. Ora, lo stesso comportamento viene osservato nel mondo del cybercrimine, con attori dello spionaggio che si impegnano in attacchi ransomware per guadagno personale.

Un caso specifico

Un caso specifico riguarda un gruppo di minacce basato in Cina, noto come Emperor Dragonfly. Originariamente destinato alla raccolta di informazioni, questo gruppo è stato recentemente scoperto a diffondere il ransomware RA World. Rimane tuttavia incerto se Emperor Dragonfly abbia cambiato completamente i suoi obiettivi o se alcuni membri stiano conducendo attacchi ransomware come attività secondaria. Ricercatori del team Symantec’s Threat Hunter, che monitorano questi sviluppi dal giugno 2024, hanno concluso che alcuni attori statali ora si impegnano in crimini informatici motivati finanziariamente, forse a causa di incentivi personali o della crescente pressione delle forze dell'ordine internazionali che hanno disturbato molte operazioni cibernetiche sponsorizzate dallo stato.

Osservazioni degli esperti

Anche gli esperti di sicurezza di Unit 42 di Palo Alto Networks hanno osservato una tendenza simile, suggerendo che il cambiamento potrebbe essere legato a finanziamenti governativi incostanti per le operazioni cibernetiche, costringendo alcuni hacker a cercare fonti di reddito alternative. Tradizionalmente, il moonlighting è stato associato a dipendenti del settore software e IT, ma questo nuovo trend dimostra che anche gli hacker si stanno impegnando in attività secondarie, portando a sviluppi insoliti nel panorama delle minacce informatiche.

Evoluzione dei gruppi di ransomware

Interessante è il fatto che i gruppi di ransomware sono notevolmente evoluti dal 2020. Molti hanno iniziato a lanciare attacchi di Distributed Denial of Service (DDoS) e viceversa. Questo cambiamento è coinciso con il rallentamento economico globale causato dai lockdown per il COVID-19, spingendo i criminali informatici a esplorare nuovi modi per sostenere le loro operazioni. Questo shift nel panorama delle minacce informatiche aggiunge un nuovo livello di complessità alle strategie di difesa cibernetica, rendendo l'attribuzione degli attacchi ancora più difficile. La motivazione finanziaria è comprensibile: se il finanziamento governativo per le operazioni cibernetiche è incostante o ridotto, questi attori potrebbero rivolgersi al crimine informatico per colmare il divario. Questo solleva una domanda più grande: se gli attori statali iniziano a operare come criminali informatici motivati finanziariamente, come influisce sulle politiche di guerra cibernetica globali?