Chi sono gli hacker che chiedono un riscatto per 18mila file sull’11 settembre

Articolo per Wired del 08/01/2019

Il gruppo the Dark overlord ha trafugato una serie da Netflix e dati da una clinica plastica per vip. Agisce spaventando per incassare riscatti

Una clinica di chirurgia plastica a Londra, un ospedale ortopedico di Atlanta dove sono state ricoverate stelle della costellazione Nba, un’azienda di colle. Fino al colpaccio, nel 2017: il trafugamento della quinta stagione di Orange is the new black da Netflix. Con tanto di relativa richiesta di riscatto per non diffondere gli episodi completi. Sono queste alcune delle vittime finite nel mirino di the Dark overlord, il gruppo di hacker che dichiara di aver rubato 18mila documenti sulle cause per risarcimento delle vittime dell’attacco terroristico che distrusse le Torri gemelle l’11 settembre 2001.

Dossier sottratti per fare cassetto, dietro la minaccia di venderli al miglior offerente. The Dark overlord ha chiesto un riscatto alle società di assicurazioni da cui ha trafugato i file e diffuso online un listino per accedere ai dati. E non si è fatto scrupoli di solleticare la curiosità di terroristi e governi desiderosi di mettere le mani su informazioni compromettenti per gli Stati Uniti.

In verità, stando a quanto dichiarano alcuni giornalisti che hanno visionato i primi documenti pubblicati, di scottante ci sarebbe ben poco. Nessun dietro le quinte da maneggiare con cura sull’attentato al World Trade center, ma dati sui contenziosi legali. Tuttavia l’operazione messa a segno dagli gruppo hacker mostra alcuni aspetti da non sottovalutare.

The Dark overlord agisce per pura sete di denaro. È messo nero su bianco nell’annuncio di vendita dei documenti: “Non siamo hacktivist (attivisti del web, ndr). Siamo spinti solo dalla ricerca di denaro su internet (bitcoin)”. Tanto che dopo aver ricattato gli studi legali vittime dell’attacco – tra questi, Hiscox Syndicates, Lloyds of London e Silverstein Properties – e aver ottenuto il riscatto, gli hacker hanno comunque deciso di divulgare i file, visto che le aziende si sono rivolte alle autorità giudiziarie. “Questo hack è del 2018, ma è venuto fuori solo adesso. Perché? Forse è imputabile al fatto che le società colpite hanno contattato le forze dell’ordine”, spiega a Wired Pierluigi Paganini, esperto di cybersecurity e direttore tecnologico di Cybaze, azienda italiana del settore.

The Dark overlord minaccia di diffondere a scaglioni i 18mila file. Sono organizzati in cinque gruppi (finora è disponibile il primo), una sorta di conto alla rovescia. Tuttavia a oggi, stando alle analisi di Paganini, gli hacker hanno incassato 12.500 dollari. Una somma che dimostra come le informazioni siano meno scottanti di quanto dichiarato dal gruppo. D’altro canto, the Dark overlord preferisce minacciare di vendere informazioni, anziché venderle per davvero, pur di convincere le vittime a pagare il riscatto.

Per Paganini si tratta di “cybercriminali” e non “di un team sponsorizzato da un governo”, anche se finora le informazioni su the Dark overlord sono poche. “Lo lasciano pensare le modalità di attacco”, chiosa l’esperto. Gli hacker sono venuti allo scoperto nel 2016, quando hanno colpito alcuni centri medici negli Stati Uniti. Anche allora la minaccia di vendere i file nel darkweb è stata usata come strumento di pressione per incassare il riscatto. Negli anni gli attacchi sono passati da cliniche, come la London Bridge Plastic Surgery, frequentata da vip, a banche di investimento, fino al colosso dello streaming video Netflix nel 2017. Pur senza grande successo, come evidenziato da Wired Us.

La testata Motherboard, in contatto in passato con il gruppo hacker, ha spiegato di aver ricevuto messaggi pressanti per pubblicare notizie su di loro. Una tattica per ottenere visibilità e intimorire le vittime. A maggio del 2018 la polizia serba ha dichiarato di aver arrestato un 38enne sospettato di essere parte dell’organizzazione, che però ha subito risposto di essere ancora operativa.

Fanno pochi colpi in un anno. Questo può essere legato al fatto che prediligano colpi hit and run (colpisci e scappa, ndr), con una lunga fase preparatoria prima, o che vadano in coperta per lungo tempo per evitare di essere individuati”, aggiunge Paganini. L’ultimo attacco ai file legati all’11 settembre potrebbe essere anche un’azione dimostrativa, “per vendere servizi come mercenari”, chiosa l’esperto.

Tuttavia non bisogna sottovalutare i rischi. “Magari i dati non sono interessanti per svelare segreti sull’11 settembre, ma contengono informazioni che possono essere adoperate per sviluppare un altro attacco. Questi file sono una miniera che può essere gestita nel tempo”, osserva Paganini. Vendendo le informazioni a governi o altre organizzazioni criminali, per unire i punti e sferrare un assalto più violento.[/vc_column_text][/vc_column][/vc_row]