Il governo russo ha cambiato la sua posizione nei confronti dei gruppi di criminali informatici, passando dalla tolleranza passiva alla gestione attiva, secondo la report società di sicurezza informatica Recorded Future. Precedentemente note per consentire ai criminali informatici di operare senza controllo purché non prendessero di mira gli interessi russi, le autorità stanno ora esercitando un controllo crescente su queste reti.
Secondo il rapporto, il cambiamento è iniziato intorno al 2023 con l’aumento della pressione delle azioni delle forze dell’ordine internazionali. I servizi di intelligence e le forze dell’ordine russi ora reclutano o cooptano talenti criminali informatici quando si allineano con gli interessi statali, tollerano attività che servono obiettivi geopolitici e intervengono per interrompere o sopprimere gruppi che diventano imbarazzanti o politicamente scomodi.
Uno dei segni di questo cambiamento sono stati gli arresti e i sequestri di alto profilo che sembrano coreografati per rafforzare il controllo statale. Ad esempio, dopo la chiusura internazionale di servizi come Cryptex e UAPS nell’ambito dell’operazione Endgame, il governo russo ha annunciato indagini su tali piattaforme, ha arrestato quasi 100 persone e sequestrato circa 16 milioni di dollari di beni.
Gli analisti affermano che queste azioni riguardano meno lo smantellamento dei gruppi dannosi e più la gestione dell’ecosistema, l’obiettivo di incassare e abilitare l’infrastruttura, preservando gli attori delle minacce che forniscono intelligence o capacità di interruzione.
La relazione sottolinea che il modello è selettivo piuttosto che completo. I gruppi di criminali informatici le cui operazioni sono in linea con gli obiettivi dello Stato russo continuano a operare con relativa impunità, mentre quelli giudicati un peso sono presi di mira. Secondo quanto riferito, le chat trapelate da gruppi come Conti e TrickBot confermano i legami tra gli operatori di alto livello e i servizi di intelligence russi.
Nel frattempo, l’underground dei criminali informatici si sta adattando, favorendo sempre più le operazioni decentralizzate e il reclutamento chiuso per eludere le interruzioni.
Per le organizzazioni e i governi al di fuori della Russia, il cambiamento ha importanti implicazioni. L’offuscamento del confine tra attività sponsorizzate dallo stato e imprese criminali significa che gli attacchi possono diventare più persistenti, con migliori risorse e più difficili da attribuire. Il rapporto suggerisce che molte organizzazioni, soprattutto in Europa, dovrebbero prepararsi a un panorama di minacce in cui i gruppi criminali sono indirettamente sostenuti o tollerati dagli attori statali.
Allo stesso tempo, gli esperti avvertono che il nuovo modello non equivale a un giro di vite della Russia sul crimine informatico su tutta la linea. Piuttosto, rappresenta un modello di governance, in cui alcuni elementi dell’ecosistema criminale informatico sono regolamentati o tollerati a seconda dell’interesse statale.
Poiché il rapporto tra criminali e attori statali continua a evolversi, i difensori informatici potrebbero dover rivedere le ipotesi sull’attribuzione delle minacce e sui modelli di rischio. Capire se un attore di minacce opera esclusivamente a scopo di lucro o viene gestito come strumento di politica statale è sempre più rilevante per le strategie di difesa e intelligence.