Attraverso l’operazione congiunta di Eurojust ed Europol, oltre alla collaborazione delle autorità giudiziarie e alla polizia di ben sette paesi, è stato possibile individuare e smantellare un gruppo ransomware con sede in Ucraina.
Il collettivo, responsabile di 1.800 attacchi effettuati in 71 paesi, prendeva di mira aziende di medie-grandi dimensioni, causando ingenti danni economici. L’operazione ha portato all’arresto del presunto capo dell’organizzazione e all’arresto di altri quattro sospettati membri del gruppo.
Le persone arrestate sono state accusate di aver effettuato diverse azioni nel contesto del cybercrimine, dagli attacchi di forza bruta fino all’attuazione di tecniche di SQL injection, con conseguente furto di credenziali e altre informazioni private.
L’intervento è da considerarsi su vasta scala, con 20 investigatori internazionali inviati a Kiev per assistere le autorità locali durante la perquisizione di 30 location diverse e l’analisi di un centinaio di dispositivi digitali.
Eurojust, Europol e sette paesi coinvolti: un’operazione internazionale cominciata quattro anni fa
I cybercriminali, secondo le ricostruzioni, compromettevano sistemi informatici per monitorarli e rimanere “dormienti” anche per mesi.
Trovato il momento più propenso, gli stessi agivano distribuendo malware di diverso tipo, come LockerGoga, MegaCortex, HIVE o Dharma. Per quanto riguarda i riscatti, invece, le richieste per le chiavi di decrittazione erano in bitcoin, per rendere impossibile il tracciamento dei pagamenti.
L’operazione internazionale è cominciata nel settembre 2019, con forze dell’ordine di diversi paesi (Francia, Regno Unito, Norvegia e Ucraina) che, in collaborazione con Eurojust, hanno intrapreso una lunga serie di indagini.
Riguardo a quanto accaduto si è espresso anche Kimberly Goody, Mandiant Head of Cybercrime Analysis di Google Cloud. secondo cui “Gli arresti di individui associati a incidenti ransomware di alto profilo inviano un messaggio chiaro che ci saranno conseguenze per questi attacchi. Sembra che le persone sotto inchiesta siano state affiliate a più servizi di ransomware nel corso del tempo e/o abbiano svolto funzioni di supporto per più gruppi”.
Questo intervento non è di certo il primo di questo genere. Solo qualche mese fa, infatti, attraverso una massiccia operazione è stata attaccata l’infrastruttura di Quakbot. Nonostante ciò, i cybercriminali sono riusciti a rimettersi in piedi e riprendere le attività ransomware nel giro di poche settimane.