Il Crescente Collegamento tra Cybercriminali e Hacker di Stato Aumenta le Preoccupazioni per la Sicurezza

La linea di confine tra gruppi di cybercriminali e hacker sponsorizzati dallo stato sta diventando sempre più sfumata, poiché gli attori concentrati sull’attività di spionaggio collaborano con cybercriminali motivati finanziariamente, come hanno segnalato questa settimana i ricercatori di sicurezza.

La tendenza è particolarmente evidente nell’uso crescente di tattiche di cybercriminalità da parte di hacker supportati dallo stato per nascondere attività di spionaggio e finanziare operazioni.

La società di cybersecurity di Google, Mandiant, ha evidenziato questo sviluppo martedì, sottolineando che il cybercrimine motivato finanziariamente domina ora le minacce online, rappresentando la maggior parte dell’attività malevola rilevata dai team di sicurezza.

Nel 2024, Mandiant ha risposto a quasi quattro volte più intrusioni cibernetiche motivate finanziariamente di quelle legate agli stati-nazione. Tuttavia, i ricercatori avvertono che, sebbene il cybercrimine riceva spesso meno attenzione dagli esperti di sicurezza nazionale, il suo impatto può essere altrettanto grave quanto gli attacchi legati all’espionaggio.

“Un ospedale messo in crisi da un gruppo sostenuto dallo stato che utilizza un wiper e un ospedale messo in crisi da un gruppo motivato finanziariamente che utilizza ransomware hanno lo stesso impatto sulla cura del paziente”, hanno scritto i ricercatori di Mandiant.

Questa preoccupazione è particolarmente rilevante poiché i criminali informatici prendono di mira sempre più le istituzioni sanitarie, con gli incidenti di perdita di dati nel settore che sono raddoppiati negli ultimi tre anni.

Oltre alle minacce dirette, i gruppi di cybercriminali stanno anche abilitando gli sforzi di hacking sostenuti dallo stato. Gli stati nazionali stanno sempre più acquistando capacità cyber da questi gruppi o li stanno cooptando per operazioni di spionaggio e di disturbo.

La Russia, ad esempio, si è affidata all’esperienza dei cybercriminali nella sua guerra cibernetica contro l’Ucraina. L’unità di intelligence militare russa APT44, nota anche come Sandworm, ha apparentemente utilizzato malware provenienti da reti di cybercriminalità per condurre cyberattacchi.

Allo stesso modo, RomCom, un gruppo storicamente concentrato sul crimine informatico finanziario, è stato coinvolto in operazioni di spionaggio contro il governo ucraino dal 2022, come riportato dai ricercatori.

Questo schema si estende oltre la Russia. I gruppi di hacker iraniani utilizzano il ransomware per guadagni finanziari mentre conducono simultaneamente operazioni di spionaggio. I gruppi di spionaggio cinesi spesso si dedicano al crimine informatico per integrare il loro reddito.

Gli studiosi sostengono che la Corea del Nord rappresenta tuttavia il caso più impressionante, poiché i suoi gruppi di hacker sponsorizzati dallo stato sono incaricati direttamente di generare entrate per il regime. Gli hacker nordcoreani hanno attaccato in modo aggressivo le borse di criptovalute e i portafogli individuali, ottenendo milioni di fondi illeciti.

Nonostante queste sovrapposizioni, gli esperti avvertono che il contrasto alla cybercriminalità richiede strategie distinte rispetto all’attacco degli hacker sponsorizzati dallo stato. I cybercriminali operano attraverso le frontiere e si riorganizzano spesso dopo l’intervento delle forze dell’ordine, rendendo la cooperazione internazionale fondamentale.

Mandiant ha sottolineato che, parallelamente agli sforzi delle forze dell’ordine, sono necessarie soluzioni sistemiche come il rafforzamento dell’educazione e della resilienza in materia di cybersecurity per frenare l’ecosistema in crescita della cybercriminalità.

Man mano che la cybercriminalità e lo spionaggio continuano a convergere, gli esperti avvertono che il panorama delle minacce diventerà ancora più complesso, richiedendo una più forte coordinazione globale per combattere le minacce informatiche sia finanziarie che politiche.