L’AIA, Paesi Bassi – La polizia, in coordinamento con le agenzie di giustizia e di polizia dell’Unione Europea, ha eliminato le reti di computer responsabili della diffusione di ransomware tramite e-mail infette, in quella che hanno definito la più grande operazione internazionale mai realizzata contro questa lucrativa forma di criminalità informatica.
La polizia ha arrestato quattro sospetti di alto valore, bloccato più di 100 server e preso il controllo di più di 2.000 domini Internet, ha detto giovedì l’agenzia di cooperazione giudiziaria dell’Unione europea, Eurojust.
La massiccia rimozione di questa settimana, nome in codice Endgame, ha comportato azioni coordinate in Germania, Paesi Bassi, Francia, Danimarca, Ucraina, Stati Uniti e Regno Unito, ha affermato Eurojust. Tre sospetti sono stati arrestati anche in Ucraina e uno in Armenia. Europol ha aggiunto che le perquisizioni sono state condotte in Ucraina, Portogallo, Paesi Bassi e Armenia.
Si tratta dell’ultima operazione internazionale volta a interrompere le operazioni di malware e ransomware. Eurojust ha affermato che ciò fa seguito alla rimozione su larga scala nel 2021 di una botnet chiamata Emotet. Una botnet è una rete di computer compromessi che viene generalmente utilizzata per svolgere attività dannose.
Europol ha promesso che questo non sarà l’ultimo abbattimento.
“L’operazione Endgame non termina oggi. Le nuove misure saranno annunciate sul sito web dell’operazione Endgame”, ha affermato Europol in una nota.
La polizia olandese ha affermato che il danno finanziario causato dalla rete a governi, aziende e singoli utenti è stimato in centinaia di milioni di euro (dollari).
“Milioni di persone sono vittime anche perché i loro sistemi sono stati infettati, rendendoli parte di queste botnet”, si legge nella dichiarazione olandese.
Eurojust ha affermato che uno dei principali sospettati ha ottenuto criptovaluta del valore di almeno 69 milioni di euro (74 milioni di dollari) affittando infrastrutture criminali per diffondere ransomware.
Europol ha aggiunto: “Le transazioni del sospettato sono costantemente monitorate ed è già stata ottenuta l’autorizzazione legale per sequestrare questi beni quando si intraprenderanno azioni future”.
L’operazione ha preso di mira malware chiamati IcedID, Pikabot, Smokeloader, Bumblebee e Trickbot. Un dropper è un malware che in genere si diffonde nelle e-mail contenenti collegamenti o allegati infetti come fatture di spedizione o moduli d’ordine.
“Questo approccio ha avuto un impatto globale sull’ecosistema dei dropper. Il malware, la cui infrastruttura è stata rimossa durante i giorni dell’evento, ha facilitato gli attacchi utilizzando ransomware e altri malware”, ha affermato Europol.
Ben Jones, CEO di Searchlight Cyber, una società che fornisce intelligence sul dark web, ha elogiato l’operazione come un esempio di come la cooperazione internazionale possa reprimere la criminalità informatica.
“Mentre i criminali informatici in precedenza utilizzavano la loro capacità di operare oltre confine per eludere il braccio della giustizia, operazioni come Endgame – coordinate in più giurisdizioni – dimostrano che questa tattica di evasione è insostenibile”, ha affermato Jones nei commenti via email all’Associated Press. “Internet si sta espandendo e l’accesso alle “zone sicure” per le attività dei criminali informatici sta diventando sempre più difficile”.
La polizia olandese ha affermato che queste misure dovrebbero allertare i criminali informatici della possibilità di arresto.
“Questa operazione dimostra che si lasciano sempre tracce e nessuno può essere trovato, nemmeno su Internet”, ha detto in una dichiarazione video Stan Doive, della polizia nazionale olandese.
Il vice capo dell’Ufficio federale della polizia criminale tedesca, Martina Lenk, ha descritto l’operazione come “la più grande operazione internazionale di cyberpolizia mai realizzata fino ad oggi”.
“Grazie ad un’ampia cooperazione internazionale è stato possibile rendere innocue sei delle più grandi famiglie di malware”, si legge in una nota.
Le autorità tedesche stanno cercando di arrestare sette persone sospettate di essere membri di un’organizzazione criminale che mira a diffondere il malware Trickbot. Si sospetta che un’ottava persona sia uno dei leader del gruppo dietro Smokeloader.
Europol ha detto che aggiungerà gli otto sospetti ricercati dalla Germania alla sua lista dei più ricercati.
___
Lo scrittore dell’Associated Press Geir Molson da Berlino ha contribuito a questo rapporto.