Ransomware — Geocriminalità e Cooperazione Internazionale di Polizia

Europol pubblica il rapporto IOCTA 2026: intelligenza artificiale, crittografia e un dark web frammentato rendono più difficile il tracciamento dei crimini informatici

Basta leggere l'ultimo rapporto #IOCTA (Internet Organised Crime Threat Assessment, scaricabile qui: https://www.europol.europa.eu/publication-events/main-reports/iocta-2026-evolving-threat-landscape) 2026 di Europol per rendersi conto che il panorama sta cambiando rapidamente. Il punto principale? I criminali stanno trasformando la tecnologia in armi più velocemente di quanto le forze dell'ordine riescano ad adattarsi.

Ecco i punti chiave emersi:

L'IA come moltiplicatore di forze: l'IA generativa non è solo per l'arte; viene utilizzata per potenziare l'ingegneria sociale e personalizzare gli schemi fraudolenti. In combinazione con lo spoofing dell'ID chiamante e le “SIM farm” (invio di migliaia di SMS/chiamate spam), la portata delle frodi online sta esplodendo.
Il dark web si sta frammentando: invece di un unico grande mercato, stiamo assistendo a una transizione verso piattaforme specializzate, resilienti e altamente sicure. Inoltre, le app con crittografia end-to-end (E2EE) stanno confondendo i confini tra le comunicazioni sul web di superficie e sul dark web, rendendo le indagini un incubo.
Il riciclaggio di criptovalute si sta evolvendo: le criptovalute incentrate sulla privacy e gli exchange offshore sono ormai parte integrante del riciclaggio dei pagamenti dei ransomware. Il rapporto evidenzia, in modo sconcertante, un aumento dei minori che, inconsapevolmente, si ritrovano coinvolti nel riciclaggio di denaro tramite criptovalute.
Ransomware e minacce ibride: i marchi di ransomware rimangono attivi, ma si osserva una preoccupante tendenza dei gruppi criminali ad agire come intermediari per minacce ibride sponsorizzate da stati, che prendono di mira istituzioni pubbliche e grandi aziende tecnologiche.
Crisi per la sicurezza dei minori: il rapporto sottolinea un grave aumento dello sfruttamento sessuale dei minori online (CSE), inclusa la produzione di materiale pedopornografico sintetico. Comunità come la rete “The Com” intrecciano il CSE con l'estremismo violento e altri gravi crimini, spesso nascondendosi dietro la crittografia end-to-end (E2EE).

Il rapporto sottolinea che il divario tra l'innovazione criminale e le capacità delle forze dell'ordine si sta ampliando. Una maggiore cooperazione internazionale e nuovi strumenti tecnologici per gli investigatori non sono più un'opzione, ma un'urgenza.

#SicurezzaInformatica #Europol #IOCTA2026 #IA #DarkWeb #Ransomware #SicurezzaInformatica

Segui il blog con il tuo favorito RSS reader (https://noblogo.org/cooperazione-internazionale-di-polizia/feed/) e interagisci con i suoi post nel fediverso (@cooperazione-internazionale-di-polizia@noblogo.org). Scopri dove trovarci: https://l.devol.it/@CoopIntdiPolizia Tutti i contenuti sono CC BY-NC-SA (https://creativecommons.org/licenses/by-nc-nd/4.0/) Le immagini se non diversamente indicato sono di pubblico dominio.

Cybercrime. Duro colpo alle organizzazioni dietro i ransomware Phobos e 8Base

Rilevato per la prima volta a dicembre 2018, il ransomware Phobos è stato uno strumento di criminalità informatica utilizzato in attacchi su larga scala contro aziende e organizzazioni in tutto il mondo.

A differenza dei gruppi ransomware di alto profilo che si rivolgono alle grandi società, Phobos si affidava ad attacchi ad alto volume contro le piccole e medie imprese, spesso mancanti delle difese adeguate di sicurezza informatica per proteggersi.

Il suo modello Ransomware-as-a-Service (RaaS) lo ha reso particolarmente accessibile a una serie di attori criminali, dai singoli affiliati a gruppi criminali strutturati come 8Base. L'adattabilità di questo framework ha permesso agli aggressori di personalizzare le loro campagne ransomware con una competenza tecnica minima, alimentando ulteriormente il suo uso diffuso.

Sfruttando l'infrastruttura di Phobos, 8Base ha infatti sviluppato la propria variante del ransomware, utilizzando i suoi meccanismi di crittografia e consegna per personalizzare gli attacchi al massimo impatto. Questo gruppo è stato particolarmente aggressivo nelle sue tattiche di doppia estorsione, non solo crittografando i dati delle vittime, ma anche minacciando di pubblicare informazioni rubate a meno del pagamento di un riscatto.

Una consociata chiave di Phobos è stata arrestata in Italia nel 2023 con un mandato di arresto francese, indebolendo ulteriormente la rete dietro questo ceppo di ransomware, mentre un amministratore di Phobos è stato arrestato in Corea del Sud nel giugno 2024 ed estradato negli Stati Uniti nel novembre dello stesso anno. Ora sta affrontando un procedimento giudiziario per aver orchestrato attacchi ransomware che hanno crittografato infrastrutture critiche, sistemi aziendali e dati personali per il riscatto.

La risposta di Eurojust, Europol e 14 Paesi

A seguito della operazione attuata ultimamente, le forze dell'ordine sono state in grado di avvertire oltre 400 aziende in tutto il mondo di attacchi ransomware in corso o imminenti.

Questa complessa operazione internazionale, sostenuta da Europol ed Eurojust, ha coinvolto forze dell'ordine di 14 paesi (vedi nota sottostante). Mentre alcuni paesi si sono concentrati sull'indagine su Phobos, altri hanno preso di mira 8Base, con diversi partecipanti in entrambi.

Europol ha svolto un ruolo fondamentale nel riunire l'intelligence da queste indagini separate, consentendo alle autorità di eliminare gli attori chiave da entrambe le reti di ransomware in uno sforzo coordinato.

Europol ha svolto un ruolo centrale nel collegare gli investigatori e nel coordinare le azioni di contrasto. A sostegno dell'indagine da febbraio 2019, il Centro europeo per la criminalità informatica (EC3) di Europol ha:

Riunito l'intelligence da indagini parallele, garantendo che le autorità di contrasto che prendono di mira Phobos e 8Base possano mettere in comune i loro risultati e coordinare gli arresti in modo efficiente.
Organizzato 37 incontri operativi per sviluppare le principali iniziative investigative.
Fornito esperienza analitica, cripto-tracing e forense per supportare il caso.
Facilitato lo scambio di informazioni nell'ambito della Joint Cybercrime Action Taskforce (J-CAT), ospitato presso la sua sede.
Scambiato quasi 600 messaggi operativi tramite la rete SIENA sicura di Europol.

Eurojust ha organizzato due riunioni di coordinamento dedicate per assistere la cooperazione giudiziaria transfrontaliera e ha fornito sostegno alle richieste in sospeso di tutte le autorità coinvolte.

Le Forze di Polizia partecipanti:

Belgio: polizia federale (Federale Politie / Police Fédérale)
Repubblica Ceca: Polizia della Repubblica Ceca (Policie České republiky)
Francia: Paris Cybercrime Unit (Brigade de lutte contre la cybercriminalité de Paris – BL2C), Court of Paris – Giurisdizione nazionale contro il crimine organizzato (Juridiction Nationale de Lutte contre la Criminalité Organisée – JUNALCO)
Germania: Ufficio di polizia criminale statale bavarese (Bayerisches Landeskriminalamt – LKA Bayern), Ufficio centrale bavarese per il perseguimento del crimine informatico (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern)
Giappone: National Police Agency (阿愛厂)
Polonia: Central Cybercrime Bureau (Centralne Biuro Zwalczania Cyberprzestępczości)
Romania: polizia rumena (Poliția Română)
Singapore: Comando CyberCrime della polizia di Singapore
Spagna: Guardia Civil
Svezia: Autorità di polizia svedese (Polisen)
Svizzera: ufficio del procuratore generale della Svizzera (OAG), polizia federale (fedpol)
Tailandia: Cyber Crime Investigation Bureau (CCIB)
Regno Unito: National Crime Agency (NCA)
Stati Uniti: Dipartimento di Giustizia degli Stati Uniti (US DOJ), Federal Bureau of Investigation (FBI – Baltimore Field Office), Dipartimento della Difesa degli Stati Uniti Cyber Crime Center (DC3)

#cybercrime #phobos #8base #ransomware