Operazione internazionale contro il più grande gruppo di ransomware al mondo. Aiuta il portale “No More Ransom”
In un'azione coordinata supportata da #Eurojust ed #Europol, le autorità giudiziarie e di polizia di 10 paesi diversi hanno colpito #LockBit, l'organizzazione di ransomware più attiva al mondo.
Due membri del team ransomware sono stati arrestati in Polonia e Ucraina.
Inoltre, le forze dell’ordine hanno compromesso la piattaforma principale di LockBit e rimosso 34 server nei Paesi Bassi, Germania, Finlandia, Francia, Svizzera, Australia, Stati Uniti e Regno Unito.
LockBit è emerso per la prima volta alla fine del 2019, inizialmente chiamandosi ransomware “ABCD”. Da allora, è cresciuto rapidamente e nel 2022 è diventato la variante di ransomware più diffusa a livello mondiale. Si ritiene che gli attacchi LockBit abbiano colpito oltre 2.500 vittime in tutto il mondo. Il gruppo operava come “ransomware-as-a-service”, il che significa che un team principale crea il proprio malware e gestisce il proprio sito Web, concedendo in licenza il proprio codice agli affiliati che lanciano attacchi.
L'azione congiunta ha permesso alle diverse forze di polizia di prendere il controllo di gran parte delle infrastrutture che permettono il funzionamento del ransomware LockBit, compresa la darknet, e, in particolare, il “muro della vergogna” utilizzato per pubblicare i dati delle vittime che si sono rifiutate di pagare il riscatto. Questa azione ha interrotto la capacità della rete di operare. Le autorità hanno inoltre congelato più di 200 conti di criptovaluta collegati all'organizzazione criminale.
Questa operazione internazionale segue una complessa indagine condotta dalla National Crime Agency del Regno Unito. Supportate da Eurojust ed Europol, le forze dell'ordine di altri nove paesi hanno lavorato su questo caso in stretta collaborazione con l'Agenzia nazionale anticrimine, comprese le autorità di Francia, Germania, Svezia, Paesi Bassi, Stati Uniti, Svizzera, Australia, Canada e Giappone.
Il caso è stato aperto presso Eurojust nell’aprile 2022 su richiesta delle autorità francesi. Il Centro europeo per la criminalità informatica (EC3) di Europol ha organizzato riunioni operative per sviluppare le piste investigative in preparazione della fase finale dell’indagine.
La polizia giapponese, la National Crime Agency e il Federal Bureau of Investigation hanno unito le loro competenze tecniche per sviluppare strumenti di decrittazione progettati per recuperare i file crittografati dal ransomware LockBit.
Queste soluzioni sono state rese disponibili gratuitamente sul portale “No More Ransom”, disponibile in 37 lingue.
Finora, più di 6 milioni di vittime in tutto il mondo hanno beneficiato di No More Ransom, che contiene oltre 120 soluzioni in grado di decrittografare più di 150 diversi tipi di ransomware.
Oltre le verie Autorità Giudiziarie dei Paesi interessati, hanno preso parte all'indagine le seguenti autorità di polizia:
Regno Unito: National Crime Agency, South West Regional Organized Crime Unit
Stati Uniti: Federal Bureau of Investigation – Newark
Francia: JUNALCO (National Jurisdiction Against Organized Crime) e Gendarmerie Nationale
Germania: Dipartimento centrale per la criminalità informatica del Nord Reno-Westfalia (CCD), Ufficio statale per le indagini penali dello Schleswig-Holstein (LKA Schleswig-Holstein), Ufficio federale della polizia criminale (Bundeskriminalamt)
Svezia: Centro svedese per la criminalità informatica,
Paesi Bassi: Team Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime);
Australia: Polizia federale australiana Canada: Polizia a cavallo reale canadese
Giappone: Agenzia nazionale di polizia ·
Svizzera: Polizia cantonale di Zurigo.
Editato con GoOnlineTools
Segui il blog con il tuo favorito RSS reader (https://noblogo.org/cooperazione-internazionale-di-polizia/feed/) e interagisci con i suoi post nel fediverso (@cooperazione-internazionale-di-polizia@noblogo.org). Scopri dove trovarci: https://l.devol.it/@CoopIntdiPolizia Tutti i contenuti sono CC BY-NC-SA (https://creativecommons.org/licenses/by-nc-nd/4.0/) Le immagini se non diversamente indicato sono di pubblico dominio.
È stato utilizzato altresì un modello di attacco definito “a doppia estorsione”. Prima di crittografare il sistema della vittima, l'affiliato avrebbe esfiltrato o rubato dati sensibili. L'affiliato ha quindi chiesto un riscatto sia per la chiave di decrittazione necessaria per de-crittografare il sistema della vittima sia per la promessa di non pubblicare i dati rubati. Gli attori di Hive hanno spesso preso di mira i dati più sensibili nel sistema di una vittima per aumentare la pressione a pagare. Dopo che una vittima aveva pagato, gli affiliati e gli amministratori dividevano il riscatto in percentuali pari a 80/20.
A distanza di poco più di 11 mesi da quando l'FBI ha dichiarato di aver chiuso la rete dell'organizzazione criminale, Il governo degli Stati Uniti ha assegnato una taglia extra di 5 milioni di dollari ai membri della banda di ransomware Hive: la seconda ricompensa del genere in un anno.
Intanto, i criminali online continuano a fare soldi con le loro richieste di estorsione, con dozzine di nuovi arrivati che sono entrati nella mischia solo lo scorso anno.
Chainalysis, nella sua analisi del 2023 pubblicata questa settimana (leggi qui, in inglese => Ransomware Hit $1 Billion in 2023 (chainalysis.com)), ha stimato che lo scorso anno le squadre di ransomware hanno incassato più di 1 miliardo di dollari in pagamenti estorti in criptovaluta dalle vittime, rispetto ai 567 milioni di dollari del 2022. La società di analisi delle criptovalute ha anche osservato che la rimozione di Hive probabilmente ha avuto un ruolo non banale nel calo dei pagamenti di ransomware nel 2022, che altrimenti sarebbero aumentati dal 2019.
La stima di 130 milioni di dollari dell'FBI “potrebbe non raccontare tutta la storia”, osserva il rapporto, perché tiene conto solo dei riscatti direttamente evitati dalle chiavi del decrittatore. Da parte sua, Chainalysis ritiene che il fallimento di Hive abbia probabilmente evitato pagamenti di ransomware per almeno 210,4 milioni di dollari.
“Durante i sei mesi in cui l'FBI si è infiltrata in Hive, il totale dei pagamenti di ransomware per tutti i ceppi ha raggiunto i 290,35 milioni di dollari”, ha osservato Chainalysis. “Ma i nostri modelli statistici stimano un totale previsto di 500,7 milioni di dollari durante quel periodo di tempo, sulla base del comportamento degli aggressori nei mesi precedenti e successivi all'infiltrazione, e si tratta di una stima conservativa.”
(Marco Raduano a Bastia il 2 febbraio 2024 dopo il suo arresto)
(Il braccio destro di Marco Raduano, Gianluigi Troiana, dopo il suo arresto a Otura in Spagna)