Bassterlord e la storia di un giovane che entra nel mondo ransomware
Buona domenica e ben ritrovato caro cyber User. Anche se il mantenimento delle mie attività cyber richiede impegno e fatica, non lo considero un lavoro ma una passione. Nonostante tutto, per domani buon Primo Maggio.
Nel racconto di oggi evidenziamo insieme alcuni dettagli di una curiosa vicenda che è stata portata alla luce dal ricercatore Jon DiMaggio: la storia di come un ragazzo di nemmeno 30 anni, diventa un cyber criminale da gang ransomware. La storia di Bassterlord.
DiMaggio in questo lavoro ha raccolto tanto materiale su Bassterlord, partendo da un punto molto recente, il suo annuncio lanciato sul forum XSS, per ufficializzare la recente collaborazione con Lockbit (marzo 2023).
Inoltre ha ricostruito dettagli e contenuti instaurando un dialogo con Bassterlord in persona che si concede ad un'intervista. Da questa intervista DiMaggio riesce a carpire dettagli importanti della sua vita e degli eventi che l'hanno scandita, fino a farlo diventare un criminale informatico.
In effetti l'annuncio di cui sopra è solo l'ultimo più recente dettaglio di Bassterlord, che ora sappiamo essere un ragazzo ucraino di 27 anni che presumibilmente vive in una delle regioni occupate dai russi. Ma i suoi contatti con il mondo cyber risalgono ad almeno dieci anni fa, quando aveva 17 anni.
Bassterlord non si considera una persona cattiva né un criminale, ha vissuto sofferenze da ragazzo a causa del bullismo che l'ha coinvolto ai tempi della scuola, mentre in casa diverse gravi difficoltà a causa della povertà, come le possibilità di cura della madre, gravemente malata. Insomma una persona molto sfortunata che non trova altre vie d'uscita.
Dice che tutto questo, aggiunto al fatto che pure la ragazza decide di lasciarlo a causa della sua insistente attività al computer (testualmente: "non diventerai ricco passando le giornate davanti ad un computer"), l'hanno spinto a dedicarsi sempre di più alle sue attività cyber.
Inizialmente non è esperto di attacchi informatici, ma frequenta forum underground con l'intenzione di imparare nuove tecniche. Qui si unisce presto ad un gruppo già avviato chiamato "National Hazard Agency", che gli offre i primi lavoretti. In questo gruppo ancora non si occupa di ransomware, ma di attività di spamming dannoso che gli viene commissionato dal gruppo. Questo primo lavoro inizia a fruttargli i primi soldi che, per un ragazzo che vive nel mezzo dei bombardamenti (prima invasione russa dell'Ucraina 2014), sono una grande fortuna.
Da questa esperienza inizia ad imparare le tecniche di crittografia criminale e alcuni membri più anziani si offrono di insegnarli la strada verso il ransomware. Si scopre così che presto incontrerà nel suo percorso Lalartu, uno dei più noti criminali esperti di ransomware, considerato il fondatore di REvil. A questo proposito invito anche a leggere un interessante intervento di Marco Govoni riguardo proprio lo smascheramento di Lalartu (22 dicembre 2021). Egli diventa il suo mentore e gli insegnerà tutto ciò che c'è da sapere per condurre un attacco ransomware.
Parlando con Bassterlord emerge anche un ulteriore dettagli su quest'ultimo gruppo ransomware. Coloro che sono stati arrestati come parte di Revil ransomware, nella nota operazione di polizia del gennaio 2022, erano i membri minoritari del team e nessuno dei membri senior e principali di Revil è stato arrestato dall'FSB. Infatti uno dei principali affiliati di REvils sarebbe scomparso proprio poco dopo che il presidente degli Stati Uniti Joe Biden e Vladimir Putin si incontrarono nel giugno 2021, momento che diede il via alle indagini da parte dell'FSB.
Bassterlord parla tanto anche del suo stato personale, comunicando di avere problemi di salute e di vista, di soffrire di gravi attacchi di panico che cura con antidepressivi, scatenati proprio dall'operazione di arresto dell'FSB nel caso Revil. Lui stesso dice di essere stato interrogato dall'intelligence, ma rilasciato senza arresto. Trasmette molta paura di venire arrestato come conseguenza delle sue attività fino ad oggi.
In questi anni, Bassterlord scrive anche due libri per l'esigenza di avere della letteratura a riguardo, da lui stesso molto ricercata e mai trovata. Si tratta di un manuale sul ransomware in due volumi, il secondo dei quali è stato diffuso in edizione limitata e solo a pagamento (10mila dollari la copia). Il primo lo trovate qui [VX-Underground].
La copia del volume II del libro è molto privata, ed è nelle mani della società di sicurezza svizzera Prodaft. Non si sa come Prodaft ne sia entrata in possesso, dal momento che questo libro è stato venduto solo a un numero limitato di persone, ed è stato probabilmente acquistato da uno dei suoi acquirenti, ma all'interno ci sarebbe l'esistenza di documenti finanziari e contabili riservati del Ministero della Difesa degli Stati Uniti. Ma anche una guida per l'accesso ai sistemi DoD del Ministero della Difesa degli Stati Uniti.
Secondo Basstelord, una persona di Prodaft lo ha contattato tramite Tox chat e ha minacciato di rivelare la sua identità, questo è stato uno dei motivi per cui Basstelord dice di aver deciso di uscire definitivamente dal mondo del ransomware.
Nonostante le affermazioni della sua ormai ex fidanzata, Bassterlord ora è un giovane milionario che vive probabilmente nella regione di Lugansk, occupata appunto dalla Russia. Una vita sicuramente tumultuosa e ricca di eventi spiacevoli ma che non giustificano sicuramente l'accesso al mondo criminale di un giovane ragazzo.
Questi dettagli, fanno pensare molto a come l'uomo si approcci al mondo illegale. Le motivazioni sono sempre le stesse, in qualsiasi settore di attività: la necessità di denaro, o per dimostrare qualcosa a qualcuno (stato sociale), oppure per risolvere importanti problemi (spesso con in mezzo la salute) debitori verso terzi. A pensarci bene non è una storia molto diversa da una qualsiasi storia di attività criminale in ambito mafioso, nella quale, proprio certe debolezze umane, prendono il sopravvento facendoci avvicinare a mondi prima lontani, ma che presto ci assorbiranno prendendosi tutto della persona interessata, a volta anche la vita.
Inoltre Bassterlord è molto giovane, ha tutto il tempo di cambiare nuovamente vita e, con tutte le competenze acquisite e le conoscenze intrattenute, può sicuramente (se lo volesse) decidere di utilizzare tutto questo a suo favore in modo lecito.
Dopo la pubblicazione di questa analisi di cui abbiamo parlato oggi, l'account XSS di Basstelord è stato bloccato.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana e buon Primo Maggio, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.