Roma - Russian Business Network, l'organizzazione sospettata di essere il centro vitale di cyberacket, botnet, phishing e spam massivi e malware generator, secondo alcune fonti sembra sparita dalla rete almeno da martedì scorso. La notizia sta circolando da venerdì, insieme all'arrivo delle prime
conferme.
"Sembra che il loro
upstream provider li abbia infilati in una
blacklist e abbia sospeso il servizio giudicandoli un cliente che crea problemi", ha detto Raimund Genes, direttore tecnico della divisione antivirus di
Trend Micro. "Attraverso i siti di RBN è stato perpetrato ogni tipo di
cybercrime ma, ultimamente, sono diventati un po' troppo ingordi: si sono infiltrati in un sito del governo turco per farlo puntare a un altro sito, in Panama, registrato da RBN. Il sito è poi stato affittato a diverse
gang che operano con il
malware", ha continuato.
RBN è un acronimo ormai più che sufficiente a identificare univocamente un qualcosa che è difficile decidere se battezzare
cybermafia,
paradiso del cybercrime,
supermercato di botnet e chi più ne ha più ne metta. In questo fa ancora notizia un
gestore di botnet come
John Schiefer, 26enne che
ha ammesso di aver creato una rete da "un quarto di milione di PC", una roba che rischia di portarlo in carcere per decenni, con multe da capogiro.
Il problema è che a poco serve l'encomiabile lavoro contro le minacce da
botnet, svolto da illustri
computer scientist come
spiega da
Linuxelectrons, se si lascia che un'organizzazione come RBN riesca a operare con la massima disinvoltura da
molto tempo, praticamente impunita. I primi segnali dei loschi risultati a cui mirava RBN erano
emersi fin da luglio, quando sono comparsi i primi tentativi di elusione dei controlli antivirus e antispam, impiegando file PDF contenenti immagini
contagiate, allegati alle email. Sospetto poi
confermato dopo qualche tempo e opportunamente
fronteggiato.
Purtroppo c'è dell'altro, e non sono buone notizie. Anche se gli esperti non ne sono sicuri al 100 per cento, quelli di Trend Micro sembrano ritenere che RBN
non sia sparita, ma che abbia
spostato il suo centro operativo in Asia. Ad ottobre, infatti, sono
emersi altri PDF infetti dalla Malaysia e dalla Svezia, a riprova di una possibile migrazione in corso da parte di RBN. Secondo Genes, infatti, a Taiwan e in Cina ora vi sono siti che stanno ospitando kit per la costruzione di malware e di software dai loschi fini, con lo stesso comportamento di quelli tipicamente reperibili, finora, sui siti di RBN. "MPack (il
packer kit) e il suo
add-on IcePack sono in rete, così come i soliti exploit per
iframe", ha precisato Genes.
Dunque una vera e propria organizzazione criminale, in piena "regola", dotata di ogni meccanismo utile a portare a compimento qualunque sorta di cybercrime e, probabilmente, di riorganizzarsi alla svelta anche in altre parti del mondo. Di fronte alla quale non resta, nel gestire il proprio rapporto con la Rete, che tenere gli occhi
ben aperti spalancati.
Marco Valerio Principato