Smantellato un gruppo di ransomware in Ucraina nel mezzo della guerra in corso

 

In uno sforzo senza precedenti, le forze dell’ordine e le autorità giudiziarie di sette paesi hanno unito le forze con Europol ed Eurojust per smantellare e arrestare in Ucraina le figure chiave dietro importanti operazioni di ransomware che stanno causando caos in tutto il mondo. L'operazione arriva in un momento critico, poiché il Paese è alle prese con le sfide dell'aggressione militare della Russia contro il suo territorio.

Il 21 novembre sono state perquisite 30 proprietà nelle regioni di Kiev, Cherkasy, Rivne e Vinnytsia, con il risultato che il capobanda, 32 anni, è stato arrestato. Sono stati arrestati anche quattro dei complici più attivi del capobanda.

Più di 20 investigatori provenienti da Norvegia, Francia, Germania e Stati Uniti sono stati inviati a Kiev per assistere la polizia nazionale ucraina nelle sue misure investigative. Questa situazione è stata rispecchiata dalla sede di Europol nei Paesi Bassi, dove è stato attivato un posto di comando virtuale per analizzare immediatamente i dati sequestrati durante le perquisizioni domiciliari in Ucraina.

Quest’ultima azione segue una prima tornata di arresti nel 2021 nel quadro della stessa indagine. Da allora, sono stati organizzati numerosi sprint operativi presso Europol e in Norvegia con l'obiettivo di analizzare a livello forense i dispositivi sequestrati in Ucraina nel 2021. Questo lavoro di follow-up forense ha facilitato l'identificazione dei sospetti presi di mira durante l'azione della scorsa settimana a Kiev .

Si ritiene che le persone indagate facciano parte di una rete responsabile di una serie di attacchi ransomware di alto profilo contro organizzazioni in 71 paesi.

Questi cyber-attori sono noti per prendere di mira specificamente le grandi aziende, bloccandone di fatto le attività. Per sferrare i loro attacchi hanno utilizzato, tra gli altri, i ransomware LockerGoga, MegaCortex, HIVE e Dharma.

I sospettati avevano ruoli diversi in questa organizzazione criminale. Si ritiene che alcuni di loro siano coinvolti nella compromissione delle reti informatiche dei loro obiettivi, mentre altri sono sospettati di essere responsabili del riciclaggio dei pagamenti in criptovaluta effettuati dalle vittime per decrittografare i loro file.

I responsabili dell'irruzione nelle reti lo hanno fatto attraverso tecniche tra cui attacchi di forza bruta, iniezioni SQL e invio di e-mail di phishing con allegati dannosi per rubare nomi utente e password.

Una volta all'interno delle reti, gli aggressori sono rimasti inosservati e hanno ottenuto un ulteriore accesso utilizzando strumenti tra cui il malware TrickBot, Cobalt Strike e PowerShell Empire, al fine di compromettere quanti più sistemi possibile prima di innescare attacchi ransomware.

Dall'indagine è emerso che gli autori del reato hanno crittografato oltre 250 server appartenenti a grandi aziende, provocando perdite superiori a diverse centinaia di milioni di euro.

Cooperazione internazionale

Su iniziativa delle autorità francesi, nel settembre 2019 è stata istituita una squadra investigativa congiunta (JIT) tra Norvegia, Francia, Regno Unito e Ucraina, con il sostegno finanziario di Eurojust e l'assistenza di entrambe le agenzie. Da allora i partner della JIT lavorano a stretto contatto, parallelamente alle indagini indipendenti delle autorità olandesi, tedesche, svizzere e statunitensi, per individuare gli autori delle minacce in Ucraina e assicurarli alla giustizia.

Questa cooperazione internazionale è rimasta salda e ininterrotta, persistendo anche tra le sfide poste dalla guerra in corso in Ucraina.

Un agente di polizia informatico ucraino è stato inizialmente distaccato presso Europol per due mesi per preparare la prima fase dell’azione, prima di essere inviato permanentemente presso Europol per facilitare la cooperazione delle forze dell’ordine in questo campo.

Fin dall'inizio dell'indagine, il Centro europeo per la criminalità informatica (EC3) di Europol ha ospitato riunioni operative, fornendo supporto in materia di analisi forense digitale, criptovalute e malware e facilitando lo scambio di informazioni nel quadro della Joint Cybercrime Action Taskforce (J-CAT) ospitata presso la sede di Europol .

Eurojust ha ospitato dodici riunioni di coordinamento per facilitare la comunicazione e la cooperazione giudiziaria tra le autorità coinvolte.

L'analisi forense condotta nell'ambito di questa indagine ha inoltre permesso alle autorità svizzere di sviluppare, insieme ai partner No More Ransom e Bitdefender, strumenti di decrittazione per le varianti dei ransomware LockerGoga e MegaCortex. Questi strumenti di decrittazione sono stati resi disponibili gratuitamente su: www.nomoreransom.org .

Autorità partecipanti:

Norvegia: Servizio nazionale investigativo criminale (Kripos)

Francia: Procura di Parigi, Polizia Nazionale (Police Nationale - OCLCTIC)

Paesi Bassi: Polizia nazionale (Politie), Procura nazionale (Landelijk Parket, Openbaar Ministerie)

Ucraina: Ufficio del Procuratore Generale (Офіс Генерального прокурора), Polizia Nazionale dell'Ucraina (Національна поліція України)

Germania: Procura di Stoccarda, Questura di Reutlingen (Polizeipräsidium Reutlingen) CID Esslingen

Svizzera: Ufficio federale di polizia (fedpol), Polizei Basel-Landschaft, Procura generale del cantone di Zurigo, Polizia cantonale di Zurigo

Stati Uniti: Servizi segreti degli Stati Uniti (USSS), Federal Bureau of Investigation (FBI)

Europol: Centro europeo per la criminalità informatica (EC3)

Eurojust

L’indagine ha beneficiato dei finanziamenti della Piattaforma multidisciplinare europea contro le minacce criminali (EMPACT).