Chi sono gli hacker che stanno ricattando Netflix

La settimana scorsa, un hacker o gruppo di hacker ha trafugato e fatto trapelare gli episodi completi — o così pare — della prossima stagione di Orange is the New Black, dopo che Netflix avrebbe rifiutato di pagare un riscatto, e ha minacciato di rendere pubblici altri programmi, tra cui Celebrity Apprentice, New Girl e The Catch. Ma si tratta solo dell'ultima mossa del gruppo. Noti come The Dark Overlord, gli hacker si sono fatti una certa nomea grazie a diversi breach di dati, in cui spesso rubano montagne di informazioni sensibili aziendali e personali.

Per oltre un anno, Motherboard e una manciata di altri giornalisti hanno seguito The Dark Overlord, e osservato la sua evoluzione da gruppo che capisce e impara come manipolare i media per favorire un tentativo di estorsione, a impresa criminale organizzata e senza scrupoli, seppure una il cui successo finanziario non è del tutto chiaro.

*

The Dark Overlord è apparso per la prima volta a giugno dell'anno scorso, quando il gruppo ha pubblicato centinaia di migliaia di presunti documenti provenienti da diverse organizzazioni sanitarie americane su un mercato del dark web. Gli hacker non stavano cercando davvero di vendere i dati però — invece, il gruppo ha chiesto un riscatto a ognuna delle (allora ignote) vittime.

"Una cifra modesta se paragonata al danno che sarà causato alle organizzazioni quando deciderò di rendere pubblici i nomi delle vittime," ha detto a Motherboard qualcuno del gruppo all'epoca.

The Dark Overlord sembrava volersi concentrare sul settore medico: poco dopo è stato il caso di altri 9 milioni di presunti contratti di assicurazioni mediche, e qualche mese più tardi hanno attaccato la Peachtree Orthopaedic Clinic, con base ad Atlanta, in Georgia. Il gruppo ha anche hackerato un'azienda di tecnologia che fornisce software ai servizi medici, e anche un servizio specializzato per casi di cancro in Indiana. Il piano, in genere, prevedeva di adescare i giornalisti perché trattassero il breach in articoli che poi venivano usati per intimidire ulteriormente le vittime dell'estorsione.

"Pubblicherete qualcosa?" Chiedeva incessantemente a Motherboard The Dark Overlord in un messaggio a proposito di uno dei breach più recenti mandati a segno dal gruppo.

Con ciò in mente, il gruppo setacciava anche i database alla ricerca di profili di maggior rilievo. I registri della Peachtree avrebbero contenuto il profilo di giocatori degli Atlanta Braves e degli Atlanta Hawks, e The Dark Overlord ha dichiarato di aver esposto pubblicamente svariate cartelle mediche, tra cui quelle relative a Mark F. Giuliano, vicedirettore dell'FBI.

Stando a un report dell'Atlanta Police Department ottenuto da Motherboard, diversi pazienti della Peachtree sarebbero stati vittima di frodi dopo l'attacco, come falsi addebiti sulla carta di credito.

Anche se il gruppo ha continuato a prendere di mira le strutture ospedaliere, The Dark Overlord ha presto ampliato il proprio obiettivo e iniziato a includere anche grosse corporazioni. A novembre, il gruppo ha detto di aver rubato dati personali e aziendali dalla Gorilla Glue, che lavora prodotti collanti, e ha poi fornito dei dati campione che sarebbero stati rubati a un appaltatore della difesa americano.

"Ci siamo dati allo spionaggio industriale da un po' ormai," ha dichiarato qualcuno del gruppo quello stesso mese, in un messaggio. "La concorrenza è interessata a questi breach, come lo sono gli acquirenti statali."

Stando a una deposizione scritta dall'agente speciale dell'FBI Ronnie O. Buentello, e pubblicata da Motherboard prima che fosse sigillata retroattivamente, The Dark Overloard ha rivendicato circa 15 degli hack più grossi avventi dalla fine di marzo a oggi. Il breach dei Larson Studios, un piccolo gruppo di post-produzione, che ha portato alla tentata estorsione ai danni di Netflix, potrebbe non essere inclusa in questa cifra.

*

A seconda dell'interlocutore con cui si interfacciano, The Dark Overlord si pone come un mattacchione, un criminale senza scrupoli o un professionista metodico.

Tramite i suoi post su Pastebin e i tweet, The Dark Overlord ha cercato di presentare un'immagine stravagante di sé.

"Io sono il primo e l'ultimo, e il Vivente; e fui morto, ma ecco son vivente per i secoli dei secoli, e tengo le chiavi della morte e dell'Ades," ha twittato il gruppo a ottobre, citando il versetto 1:18 del libro della Rivelazione, prima di annunciare un nuovo furto di dati.

Ma quando invia messaggi direttamente alle vittime, il gruppo di hacker sembra avere un approccio diverso.

"Dì a tua madre e tuo padre che abbiamo tutte le loro ricerche e sviluppi e che abbiamo intenzione di distruggere la loro azienda a meno che non collaborino," recita un messaggio inviato dagli hacker al figlio di una delle vittime di una corporazione.

E in altri casi, il gruppo avrebbe presentato alle vittime contratti legali dettagliati, in cui venivano stabiliti i termini dell'estorsione e le responsabilità di ambo le parti.

"Con riserva, thedarkoverlord cancellerà in modo sicuro tutte le copie dei dati del Cliente o di altre parti associate," si legge su un presunto contratto tra The Dark Overlord e una delle vittime. Motherboard ha ottenuto il contratto da qualcuno che non è direttamente affiliato con il gruppo di hacker. Il documento firmato definisce bitcoin, crittografia PGP, e fornisce una deadline per il pagamento (Nessuno ha ancora inviato fondi all'indirizzo bitcoin menzionato nel contratto, nel momento in cui questo articolo è stato scritto).

Il legame esatto tra Crafty Cockney e The Dark Overlord non è chiaro, ma Dissent Doe, il creatore (sotto pseudonimo) di DataBreaches.net che ha seguito entrambi i truffatori da vicino, ha detto a Motherboard "C'era sicuramente una relazione. Non so che tipo di relazione sia al momento, però." (Un uomo che avrebbe usato lo pseudonimo Crafty Cockney è stato arrestato l'anno scorso per aver cercato di vendere foto rubate appartenenti a un membro della famiglia reale inglese).

L'indagine dell'FBI su The Dark Overlord resta aperta, e hanno anche interrogato un ricercatore in sicurezza la cui strada si era incrociata online con il gruppo di hacker. Ma The Dark Overlord non mostra alcun segno di tentennamento.

"È quasi ora di fare un altro giro," ha twittato il gruppo lunedì.