Endgame colpisce: ransomware fermato alla fonte

 

I criminali informatici di tutto il mondo hanno subito una grave crisi dopo che le forze dell'ordine e le autorità giudiziarie, coordinate da Europol ed Eurojust, hanno smantellato l'infrastruttura chiave dietro il malware utilizzato per lanciare attacchi ransomware. 

Dal 19 al 22 maggio, le autorità hanno bloccato circa 300 server in tutto il mondo, neutralizzato 650 domini ed emesso mandati di arresto internazionali contro 20 obiettivi, infliggendo un duro colpo alla kill chain del ransomware.

Inoltre, durante la settimana di azione sono stati sequestrati 3,5 milioni di euro in criptovaluta, portando l'importo totale sequestrato durante l'operazione Endgame a oltre 21,2 milioni di euro.

Quest'ultima fase dell'Operazione ENDGAME fa seguito alla più grande azione internazionale mai condotta contro le botnet nel maggio 2024. Ha preso di mira nuove varianti di malware e gruppi successori riemersi dopo le rimozioni dell'anno scorso, rafforzando la capacità delle forze dell'ordine di adattarsi e reagire, nonostante i criminali informatici si stiano riorganizzando e riorganizzando.

L'operazione si è concentrata sul malware di accesso iniziale, ovvero gli strumenti utilizzati dai criminali informatici per infiltrarsi nei sistemi senza essere notati prima di distribuire il ransomware. 

Disattivando questi punti di ingresso, gli investigatori hanno colpito all'inizio della catena di attacchi informatici, danneggiando l'intero ecosistema del cybercrime-as-a-service.

Durante l'azione sono stati neutralizzati i seguenti ceppi di malware:

• Bombo
• Lactrodectus
• Qakbot
• Hijackloader
• DanaBot
• Truccabot
• Biscotto caldo

Queste varianti vengono comunemente offerte come servizio ad altri criminali informatici e vengono utilizzate per aprire la strada ad attacchi ransomware su larga scala. Inoltre, sono stati emessi mandati di arresto internazionali contro 20 attori chiave ritenuti fornitori o gestori di servizi di accesso iniziale agli operatori di ransomware.

Catherine De Bolle Direttore esecutivo dell'Europol: "Questa nuova fase dimostra la capacità delle forze dell'ordine di adattarsi e colpire ancora, anche mentre i criminali informatici si riorganizzano e si riorganizzano. Interrompendo i servizi su cui i criminali fanno affidamento per distribuire ransomware, stiamo interrompendo la kill chain alla radice. Operation Endgame è un'operazione in corso, su larga scala e a lungo termine, condotta congiuntamente da diverse agenzie di forze dell'ordine in tutto il mondo contro servizi e infrastrutture che assistono o forniscono direttamente l'accesso iniziale o di consolidamento al ransomware".

L'Europol ha supportato l'operazione fin dall'inizio, fornendo coordinamento, supporto operativo e analitico, tracciando le criptovalute e agevolando lo scambio di informazioni in tempo reale tra i diversi partner coinvolti.

Durante la settimana di azione, è stato istituito un Posto di Comando presso la sede centrale di Europol all'Aia, con investigatori provenienti da Canada, Danimarca, Francia, Germania, Paesi Bassi, Regno Unito e Stati Uniti, in collaborazione con il Centro europeo per la criminalità informatica di Europol e la sua Taskforce congiunta di azione contro la criminalità informatica . Il Posto di Comando ha coordinato le azioni di contrasto, gestito l'intelligence sui server sequestrati e supervisionato l'attuazione del piano d'azione operativo.

Eurojust ha fornito un supporto essenziale per rendere efficace la cooperazione giudiziaria fin dall'inizio delle indagini nel 2024. Il coordinamento svolto da Eurojust ha garantito che le autorità potessero scambiare informazioni e allineare i loro sforzi investigativi.

I sospettati saranno aggiunti alla lista dei più ricercati dell'UE

Diversi sospettati chiave dietro le operazioni malware sono ora oggetto di appelli internazionali e pubblici. Le autorità tedesche pubblicheranno 18 di loro nella lista dei più ricercati dell'UE a partire dal 23 maggio.

Si ritiene che i sospettati abbiano fornito o utilizzato gli strumenti che hanno consentito ai gruppi criminali di accedere alle reti delle vittime e lanciare attacchi ransomware su larga scala.

Mentre i criminali informatici continuano a innovare, le forze dell'ordine stanno adattando la propria strategia per rimanere all'avanguardia. 

L'imminente Valutazione delle minacce della criminalità organizzata su Internet (IOCTA) di Europol per il 2025 , la cui pubblicazione è prevista per l'11 giugno, porrà particolare attenzione ai broker di accesso iniziale, rafforzando l'importanza di affrontare le prime fasi degli attacchi informatici.

L'operazione Endgame proseguirà ora con azioni di follow-up annunciate sul sito web dedicato dei partner internazionali delle forze dell'ordine.

Paesi partecipanti

Canada : Polizia reale canadese a cavallo (RCMP)

Danimarca : Polizia danese (Politi)

Francia : Polizia nazionale (Police Nationale), Gendarmeria nazionale (Gendarmerie Nationale), Procura JUNALCO (Giurisdizione nazionale contro la criminalità organizzata), Unità per la criminalità informatica, Polizia giudiziaria di Parigi (Préfecture De Police de Paris)

Germania : Ufficio federale di polizia criminale (Bundeskriminalamt), Procura generale di Francoforte sul Meno – Centro per la criminalità informatica

Paesi Bassi : Polizia nazionale (Politie), Procura pubblica (Openbaar Ministerie)

Regno Unito : Agenzia nazionale per la criminalità

Stati Uniti : Federal Bureau of Investigation, United States Secret Service, Defense Criminal Investigative Service, Dipartimento di Giustizia degli Stati Uniti.