La Polizia di Stato ha appena condotto a termine un’operazione – battezzata Cryptowash – tesa a reprimere le attività dei criminali informatici che hanno realizzato il ransomware Cryptolocker. Il malware, com’è noto, una volta eseguito sul sistema dell’utente, provvede a prendere in ostaggio decide di tipologie di file in esso conservati.
Documenti personali e file dell’utente vengono crittografati usando un solido algoritmo a crittografia asimmetrica. Per riottenere i propri file “in chiaro”, all’utente viene richiesto il versamento di un importo generalmente pari a diverse centinaia di euro.
Solo in questo modo, spiegano i criminali informatici, l’utente potrà ricevere la chiave che consentirà di decodificare i propri file.
Nell’articolo Cryptolocker e altri ransomware: come decodificare i file, abbiamo spiegato che cosa sono i ransomware come Cryptolocker e com’è possibile recuperare i file senza versare alcuna somma a titolo di riscatto.
Dalla questura di Trieste si spiega che “le indagini, partite già da alcuni mesi, hanno avuto una svolta decisiva nel marzo di quest’anno, a seguito di una denuncia sporta dall’amministratore delegato di una società in cui una impiegata aveva incautamente aperto un link, pervenuto in allegato a una email che preannunciava un rimborso su una spedizione SDA“.
I responsabili dell’azienda hanno deciso di pagare il riscatto versando la somma richiesta attraverso il sito Coinbit.it e ricevendo, in risposta, un’email contenente la chiave per decifrare i file “bloccati” da Cryptolocker.
Partendo da queste informazioni, gli agenti sono potuti risalire ad una persona residente in provincia di Padova. Durante le verifiche sono emersi “elementi di responsabilità riconducibili ad un vero e proprio sodalizio (che aveva anche una società in Estonia, sulla quale sono ancora in corso accertamenti) i cui appartenenti si presentavano come semplici intermediari di coinbit che non solo si dichiaravano estranei alla diffusione del virus ma anzi sui propri siti invitavano le malcapitate vittime a non pagare alcun riscatto in caso di attacco bensì a sporgere denuncia presso la Polizia Postale“.
Tra i gestori di Coinbit, stando a quanto riferisce la Polizia di Stato, pur essendo ancor’oggi citato tra i servizi per lo scambio di Bitcoin (vedere questa pagina), vi sarebbero quindi persone direttamente coinvolte nelle attività illecite legate al ransomware Cryptolocker. “In realtà erano perfettamente al corrente della natura illecita dei proventi incamerati (…)” dal momento che gli agenti hanno rinvenuto non soltanto “le tracce delle transazioni effettuate a seguito del pagamento dei riscatti ma addirittura hanno recuperato centinaia di messaggi che gli indagati si inviavano via smartphone“.
Con tali messaggi venivano scambiati “consigli sulla diffusione di Cryptolocker, sul riciclaggio del denaro, su come comportarsi davanti alle forze di polizia in caso di perquisizione o di assunzione di sommarie informazioni, indicazioni su nomine di avvocati di fiducia (…)“.
Secondo le prime stime della Polizia, l’associazione avrebbe indebitamente rastrellato circa 277.000 euro. Dopo gli accertamenti, sono state denunciate sette persone e disposto il sequestro del sito Coinbit.it.