C'è movimento nel Dark Web, anche se non sempre è chiaramente percepibile dall'esterno: spesso sono gli esperti di sicurezza a svelare cosa accade nella parte più remota di Internet. Le ultime scoperte sono degne di nota, perché suggeriscono che qualcosa si sta attivando per contrastare il gruppo di hacker russi che negli ultimi tempi è stato pericolosamente attivo a livello mondiale. Il riferimento va a REvil, conosciuto anche come Sodinokibi, che potrebbe essere oggetto di una controffensiva - non si sa ancora da parte di chi - che sta colpendo la sua infrastruttura: diversi siti web affilati al gruppo non sono più attivi da ieri mattina.

I visitatori dei siti sono stati accolti dal messaggio che evidenzia l'impossibilità di trovare un server con il nome dell'host indicato. Dopo il grave attacco ransomware del 2 luglio scorso, lo stesso presidente degli Stati Uniti Joe Biden ha prospettato la possibilità di agire direttamente contro i server utilizzati dai criminali informatici del gruppo REvil, al di là dei tentativi di risolvere la questione sul piano diplomatico con il Cremlino. Biden e Putin hanno già discusso sull'argomento; non si può quindi escludere che le vicende dei server siano frutto degli interventi diretti degli Stati Uniti e/o della Russia.

Ma ci potrebbero essere anche altre spiegazioni: una delle costanti dei gruppi criminali che si muovono nel Dark Web è anche la capacità di morire (virtualmente parlando) e risorgere in tempi rapidissimi, sotto altro nome e con altri siti. È un modo per far perdere ancor di più le proprie tracce nel Dark Web, per poi riorganizzarsi e tornare a colpire. Oggettivamente dopo l'attacco a Kaseya la pressione intorno al gruppo è aumentata, sparire per un po' potrebbe essere una strategia messa in campo per allentarla.

La verità probabilmente non si potrà mai sapere perché, come ricorda un funzionario del Consiglio di sicurezza nazionale statunitense, l'eventuale azione diretta non sarà mai comunicata in anticipo, né necessariamente visibile: alcune (azioni) saranno manifeste e visibili, altre potrebbero non esserlo. Ma prevediamo che si svolgano nei giorni e nelle settimane a venire, aveva detto il funzionario venerdì scorso. Il dato di fatto è che al momento risultano offline i siti web darknet (.onion) e clearnet (.decoder.re) di REvil e tutto sembra confermare che la causa sia proprio riconducibile ai server.

L'attenzione nei confronti di REvil è cresciuta con il moltiplicarsi degli attacchi ransomware messi a segno: oltre a Kaseya, il gruppo ha preso di mira anche Quanta, fornitore di Apple, Acer e il colosso della carne JBS