La società di intelligence blockchain TRM Labs ha rivelato che alcuni dei principali sindacati di ransomware collegati alla Russia hanno rinominato le loro attività nel 2022 per evitare sanzioni dai paesi occidentali.
Secondo un nuovo rapporto pubblicato di recente, il rebranding e altre attività significative hanno mostrato notevoli cambiamenti nello spazio del crimine informatico e nei mercati darknet (DNM) dopo che la Russia ha invaso l'Ucraina.
Operatori di ransomware rinominati per eludere le sanzioni
Sulla scia dell'invasione russa dell'Ucraina, diverse forze dell'ordine occidentali hanno imposto sanzioni più severe alle piattaforme ransomware russe.
Allo stesso modo, le sanzioni imposte dall'Office of Foreign Assets Control (OFAC) degli Stati Uniti sulla popolare piattaforma darknet Hydra hanno avuto un impatto sui progetti di ransomware mentre lottavano per ottenere il dominio del mercato evitando le forze dell'ordine.
Per rafforzare il loro anonimato attraverso alterazioni del comportamento on-chain, due importanti sindacati di ransomware, LockBit e Conti, hanno ristrutturato le loro attività.
Attraverso l'analisi on-chain, i rapporti open source e le informazioni proprietarie di TRM, la società di intelligence ha scoperto che Conti ha cessato la sua attività originaria e si è ristrutturata in tre gruppi più piccoli chiamati Black Basta, BlackByte e Karakut. Prima della diversificazione, Karakut era un progetto collaterale gestito dagli operatori Conti.
LockBit, d'altra parte, ha rinominato le sue operazioni dall'invasione dell'Ucraina lo scorso febbraio. Quattro mesi dopo, il sindacato ha lanciato LockBit 3.0, che ha proiettato come apolitico e focalizzato sul guadagno monetario.
“L'affermazione di LockBit secondo cui non aveva intenzione di attaccare intenzionalmente i paesi occidentali potrebbe essere stata motivata dalla possibilità di sanzioni occidentali contro entità russe. Inoltre, LockBit ha dichiarato di aver proibito gli attacchi contro entità legate a infrastrutture critiche, probabilmente per ridurre al minimo il rischio di attenzione da parte delle forze dell'ordine e potenziali sanzioni", ha affermato TRM.
Le sanzioni occidentali hanno avuto scarso impatto sui DNM
Inoltre, l'analisi di TRM ha rilevato anche una crescita significativa nell'utilizzo dei mercati darknet di lingua russa. A causa delle sanzioni imposte ai DNM, i criminali sono fuggiti verso piattaforme legate alla Russia per eludere le forze dell'ordine occidentali.
Collettivamente, i mercati darknet di lingua russa hanno registrato diversi periodi di crescita sostenuta tra aprile-luglio e ottobre-dicembre 2022. Alla fine dell'anno, avevano accumulato vendite per oltre 130 milioni di dollari.
Il post Russian Ransomware Projects Rebranded to Avoid Western Sanctions: Report è apparso per la prima volta su CryptoPotato .