Con IA e quantum computing all'orizzonte, il cybercrime è più redditizio del narcotraffico

Dimenticate il cybercriminale che vive in uno scantinato, indossa una felpa nera e mangia pizza fredda. Gli impiegati del crimine digitale sono in carriera: uffici veri con tutti i benefit dei big della Silicon Valley: tavoli da ping pong per rilassarsi, letti in ufficio per i power nap, cene aziendali pagate nei ristoranti con due stelle Michelin e tutti gli altri strumenti per corteggiare le menti migliori della tecnologia.

È la realtà operativa dei gruppi più organizzati del pianeta che si occupano di ransomware (i software che vengono utilizzati per bloccare i dati di una azienda e poi chiedere un riscatto per sbloccarli). Durante la giornata di full immersion sul cybercrimine organizzata a Madrid da Kaspersky Horizon, i ricercatori e gli esperti del settore hanno mostrato una verità scomoda: i cybercriminali hanno ormai costruito imperi aziendali più efficienti di molte multinazionali tradizionali. Quello che emerge dall'analisi dei dati raccolti da hacker etici che si sono infiltrati nelle comunicazioni di questi gruppi è un ecosistema criminale che fattura miliardi e opera con una precisione manageriale che farebbe invidia a qualsiasi MBA.

I conti delle multinazionali del cybercrimine

Un esempio: la struttura del gruppo Conti, analizzata nei dettagli dall'hacker etico Clément Domingo, rivela un organigramma che ricorda quello di una corporation: "core leadership team", responsabili risorse umane e finanza, team leader che controllano le operazioni quotidiane, strutture operative organizzate a seconda delle funzioni. Gli stipendi sono competitivi: dai 1.800 ai 2.200 dollari alla settimana per un operatore medio, con bonus legati ai risultati.

I numeri del business: "Conti" ha fatturato tra i 100 e i 185 milioni di dollari nel solo 2021, mentre Lockbit ha generato perdite per 500 milioni in 18 mesi. Il mercato globale del ransomware, stimato ufficialmente in 1,1 miliardi di dollari nel 2023 (seguendo le stime di Chainalysis e i rapporti di FBI ed Europol), secondo Domingo va moltiplicato per otto o nove per avere la cifra reale. La tedesca MediaMarkt avrebbe pagato un riscatto da 240 milioni di dollari a Hive per riavere i suoi dati, la taiwanese Acer 100 milioni per Revil, le poste britanniche Royal Mail altri 80 milioni e 70 milioni il produttore di chip taiwanese Tsmc, entrambi colpiti con LockBit.

L'arte della negoziazione digitale

Come determinano l'ammontare dei riscatti questi moderni pirati digitali? Con un metodo analogo a quello di molte società di consulenza. I gruppi criminali analizzano meticolosamente i bilanci delle vittime, utilizzando strumenti di business intelligence, calcolando richieste che oscillano tra l'1 e il 10% del fatturato annuale. Le cifre spaziano dai 250 milioni di dollari per le grandi corporation agli ottomila dollari per le piccolissime imprese. Al totale "vero" si arriva dopo una fase di negoziazione. "Non vale più dire che non si rischia perché si è troppo piccoli o non abbastanza importanti", dice Domingo. "Se l'economia del ransomware fosse una nazione – dice – sarebbe la terza dopo Stati Uniti e Cina".

Secondo Marc Rivero, responsabile della ricerca di Kaspersky GReAT, questo conferma una tendenza allarmante: "L'intelligenza artificiale abbassa le barriere d'ingresso e accelera la creazione di malware, permettendo anche ad attaccanti meno esperti di sviluppare rapidamente software maligno sofisticato su larga scala". I cybercriminali utilizzano chatGPT e altri strumenti di AI per una gamma vastissima di funzionalità, dall'automazione degli attacchi alla creazione di deepfake per le truffe.

Il vero problema, spiegano gli esperti a ItalianTech, è infatti un altro: l'intelligenza artificiale sta abbattendo la barriera che fino a ieri separava i "ragazzini" dagli attaccanti esperti. Rendendo i primi altrettanto pericolosi dei secondi. Adesso, questa "democratizzazione" del crimine attira i più giovani perché passa la voce che ogni teenager bravo con il computer è un potenziale milionario: Dajjalx, arrestato a 17 anni in Francia, aveva accumulato 1,3 milioni di dollari in criptovalute, mentre IntelBroker, 25enne britannico, gestiva uno dei più grandi cybermercati illegali online.

È il motivo per cui l'età media dei cybercriminali si sta abbassando drasticamente, con conseguenze che toccano anche le micro-organizzazioni che stanno nascendo all'interno di un ecosistema criminale sempre più ampio.

Il malware del futuro è già qui

FunkSec rappresenta l'evoluzione più recente di questa minaccia: un ransomware appena scoperto da Kaspersky che mostra chiari segni di sviluppo assistito dall'intelligenza artificiale. Il codice presenta commenti generici e altri elementi tecnici del tipo generato dai sistemi automatici di scrittura del codice e molte inconsistenze tecniche tipiche degli LLM, i Large language model.

Non è un virus, bensì un "ransomware", cioè un software malevolo che si infiltra nei computer di una azienda o di un privato e critta tutte le informazioni presenti, bloccandole di fatto con una password conosciuta solo agli attaccanti. Qui scatta la "metafora del riscatto": i dati sono come "rapiti", anche se materialmente non si spostano, e per riaverli indietro, cioè per sbloccarli con una password, è necessario pagare un riscatto. Grandi organizzazioni cadute nella rete dei malintenzionati hanno pagato fino a centinaia di milioni di dollari (di solito in criptovalute, che non sono facilmente tracciabili) pur di recuperare i dati operativi necessari alle loro attività.

Adesso, però, c'è un cambiamento importante. La nuova strategia con FunkSec cambia le dinamiche del cybercrimine perché rende "facile" l'uso del ransomware da parte degli attaccanti. I produttori lo vendono ad altri cybercriminali a meno di diecimila dollari, in un vero e proprio mercato nero di questi strumenti, per fare attacchi ad alto volume. È un approccio che privilegia la quantità sulla qualità.

Questo modello, basato sull'intelligenza artificiale per far funzionare e personalizzare l'attacco, moltiplica tentativi di furto di dati e attiva un intero mercato illegale di "negoziatori" che si occupano di prendere in carico le aziende violate per chiedere i soldi del riscatto, e poi di altri malintenzionati che si occupano del riciclaggio dei soldi ottenuti oppure della vendita delle informazioni "sfilate" dai computer compromessi. È un intero ecosistema di dimensioni planetarie, organizzato come una serie di aziende del cybercrimine che comunicano tra loro, si scambiano dati, bitcoin da riciclare, informazioni da rivendere.

L'attacco con i computer quantistici

Le aziende di solito si proteggono da questo tipo di attacchi cifrando i propri dati: in questo modo, anche se "catturati" perlomeno non sono accessibili. Ma è una strategia che rischia di non funzionare più. Sergey Lozhkin, sempre di Kaspersky GReAT, spiega: "Il rischio più critico oggi è che i dati crittografati che hanno un valore nel lungo termine, possano essere decriptati in futuro".

Infatti, i gruppi criminali, secondo i dati forniti da Kaspersky, stanno implementando la strategia "ruba oggi, utilizza domani". Stanno cioè raccogliendo oggi dati crittografati per decifrarli tra 5-10 anni, quando saranno disponibili i computer quantistici capaci di "rompere" con facilità i lucchetti digitali della crittografia più avanzata.

E sul mercato, spiega invece Domingo, è in corso una vera e propria corsa tra lo sviluppo di ransomware capaci di resistere alla decrittazione con computer quantistici, e l'uso del quantum computing per rompere i sistemi di crittografia attuali. Le decisioni di sicurezza prese oggi definiranno la resilienza dell'infrastruttura digitale per i prossimi decenni.

La nuova geografia del crimine

La trasformazione del mercato dei cybercriminali ha conseguenze molto forti: "Nel 2025 è più lucrativo essere cybercriminale che vendere droga", dice Domingo, "perché si guadagna di più e si rischia molto meno dal punto di vista legale".

Nel crimine tradizionale legato alla droga, si usano armi, violenza, si provocano danni personali e spesso la morte di molte persone: ci sono decine di possibili aggravanti, e il coordinamento internazionale tra le forze di polizia per i crimini commessi nel "mondo fisico" è efficiente. Difficile farla franca. Non è così per il cybercrimine. I criminali quindi si spostano sempre più velocemente nel cybercrimine: rischiano molto meno e guadagnano molto di più. Questo ha conseguenze dirette per tutti: dalle banche che devono proteggere le transazioni alle blockchain vulnerabili agli attacchi quantistici.

Un problema che passa in prima battuta dalla comprensione, da parte delle aziende, dei rischi insiti nella transizione digitale. Liliana Acosta, ricercatrice colombiana che ha fondato la società "Thinker Soul" ed è esperta di etica dell'intelligenza artificiale, spiega che è necessario rendersi conto delle nuove tecnologie per capire realmente l'impatto che avranno. "La gente – dice – non capisce il significato e il potere dell'intelligenza artificiale. Quando spieghiamo alle aziende cosa comporta veramente, si spaventano". Il quantum computing minaccia anche le criptovalute: l'algoritmo ECDSA di Bitcoin potrebbe essere compromesso, aprendo scenari di falsificazione delle firme digitali e manipolazione della storia delle transazioni.

Secondo la spagnola Pilar Troncoso di QCentroid, c'è un aspetto cruciale relativo ai rischi quantistici: "Il problema non sono solo i Bitcoin, ma il rischio di far cadere gli aerei dal cielo". La rottura dei sistemi di sicurezza con la sinergia tra intelligenza artificiale potenziata dall'uso di sistemi di calcolo quantistici potrebbe distruggere qualsiasi forma di sicurezza digitale, inclusa quella delle infrastrutture critiche. Dalle centrali energetiche ai sistemi di logistica e di guida di treni, aerei, navi.

La risposta? È la cosiddetta "crittografia post-quantistica". La corsa è già iniziata, ma la transizione per mettere in sicurezza tutti i sistemi richiederà anni di preparazione. Governi, aziende e fornitori di infrastrutture critiche devono iniziare ad adattarsi ora, prima che le vulnerabilità sistemiche diventino irreversibili, spiega Troncoso. Senza coordinamento internazionale e aggiornamenti tempestivi delle infrastrutture, i rischi per i dati finanziari, governativi e aziendali sono potenzialmente critici. La cybersecurity del futuro si gioca oggi, nelle scelte strategiche e negli investimenti che definiranno la resilienza digitale del prossimo decennio.