Europol arresta 12 autori di attacchi ransomware

Dopo aver portato a termine con successo l'operazione Dark HunTOR, Europol e le forze di polizia di altri 8 paesi hanno arrestato 12 persone ritenute responsabili di numerosi attacchi ransomware contro diverse infrastrutture critiche.

Questi cyber attori rappresentavano una pericolosa combinazione di interruzione aggressiva e obiettivi ad alto rischio Un totale di 12 persone che hanno scatenato il caos in tutto il mondo con attacchi ransomware contro infrastrutture critiche sono state prese di mira a seguito di un'operazione giudiziaria e delle forze dell'ordine che ha coinvolto otto paesi.

Si ritiene che questi attacchi abbiano colpito oltre 1 800 vittime in 71 paesi. Questi cyber attori sono noti per aver preso di mira in modo specifico le grandi aziende, portando di fatto la loro attività a un punto morto.

Le azioni si sono svolte nelle prime ore del 26 ottobre in Ucraina e Svizzera. La maggior parte di questi sospetti sono considerati obiettivi di alto valore perché sono oggetto di indagine in più casi di alto profilo in diverse giurisdizioni.

A seguito della giornata di azione, sono stati sequestrati oltre 52 000 dollari in contanti, oltre a 5 veicoli di lusso. Un certo numero di dispositivi elettronici è attualmente in fase di esame forense per garantire prove e identificare nuovi indizi investigativi.

I sospetti presi di mira avevano tutti ruoli diversi in queste organizzazioni criminali professionali e altamente organizzate. Alcuni di questi criminali stavano affrontando lo sforzo di penetrazione, utilizzando più meccanismi per compromettere le reti IT, inclusi attacchi di forza bruta, iniezioni SQL, credenziali rubate ed e-mail di phishing con allegati dannosi.

Una volta in rete, alcuni di questi cyber attori si concentrerebbero sullo spostamento laterale, distribuendo malware come Trickbot o framework post-sfruttamento come Cobalt Strike o PowerShell Empire, per non essere rilevati e ottenere ulteriore accesso.

I criminali sarebbero quindi rimasti inosservati nei sistemi compromessi, a volte per mesi, alla ricerca di ulteriori punti deboli nelle reti IT prima di passare alla monetizzazione dell'infezione distribuendo un ransomware. Questi cyber attori sono noti per aver distribuito LockerGoga, MegaCortex e Dharma ransomware, tra gli altri.

Gli effetti degli attacchi ransomware sono stati devastanti poiché i criminali hanno avuto il tempo di esplorare le reti IT senza essere scoperti. Alla vittima è stata quindi presentata una richiesta di riscatto, che chiedeva alla vittima di pagare gli aggressori in Bitcoin in cambio di chiavi di decrittazione.

Alcuni degli individui interrogati sono sospettati di essere incaricati di riciclare i pagamenti del riscatto: avrebbero incanalato i pagamenti del riscatto Bitcoin attraverso servizi di miscelazione, prima di incassare i guadagni illeciti.

La cooperazione internazionale coordinata da Europol ed Eurojust è stata fondamentale per identificare questi attori della minaccia poiché le vittime si trovavano in diverse località geografiche in tutto il mondo.

Avviata dalle autorità francesi, nel settembre 2019 è stata costituita una squadra investigativa comune (SIC) tra Norvegia, Francia, Regno Unito e Ucraina con il sostegno finanziario di Eurojust e l'assistenza di entrambe le agenzie. Da allora i partner della SIC hanno lavorato a stretto contatto, parallelamente alle indagini indipendenti delle autorità olandesi e statunitensi, per scoprire l'effettiva grandezza e complessità delle attività criminali di questi cyber attori per stabilire una strategia comune.

Eurojust ha istituito un centro di coordinamento per facilitare la cooperazione giudiziaria transfrontaliera durante la giornata di azione. In preparazione di ciò, si sono tenute sette riunioni di coordinamento.

Il Centro europeo per la criminalità informatica (EC3) di Europol ha ospitato riunioni operative, ha fornito supporto in ambito forense, criptovaluta e malware digitale e ha facilitato lo scambio di informazioni nel quadro della Joint Cybercrime Action Taskforce (J-CAT) ospitata presso la sede di Europol all'Aia.

Più di 50 investigatori stranieri, tra cui sei specialisti di Europol, sono stati inviati in Ucraina per la giornata d'azione per assistere la polizia nazionale nello svolgimento di misure investigative congiunte. Anche un agente di polizia informatica ucraino è stato distaccato presso Europol per due mesi per preparare la giornata d'azione.

Questa operazione è stata condotta nell'ambito della Piattaforma multidisciplinare europea contro le minacce criminali (EMPACT).

All'operazione hanno preso parte le seguenti autorità:

Norvegia : Servizio nazionale di indagine penale (Kripos)

Francia : Procura della Repubblica di Parigi, Polizia nazionale (Police Nationale - OCLCTIC)

Paesi Bassi : Polizia nazionale (Politie), Servizio nazionale della pubblica accusa (Landelijk Parket, Openbaar Ministerie)

Ucraina : Ufficio del procuratore generale (Офіс Генерального прокурора) Polizia nazionale dell'Ucraina (Національна поліція України)

Regno Unito : polizia scozzese, National Crime Agency (NCA)

Germania : Questura Reutlingen (Polizeipräsidium Reutlingen)

Svizzera : Polizia federale (fedpol), Polizei Basel-Landschaft

Stati Uniti : Servizio segreto degli Stati Uniti (USSS), Federal Bureau of Investigations (FBI)

Europol : Centro europeo per la criminalità informatica (EC3)

Eurojust

©NOCPress all rights reserved