Arrestati in Ucraina sei sospetti componenti del gruppo ransomware Clop

La polizia ucraina ha arrestato sei presunti membri del gruppo ransomware Clop e sequestrato loro contanti, auto e computer.

Autore: Redazione SecurityOpenLab

La Polizia nazionale ucraina, in un'azione coordinata con le forze dell'ordine sudcoreane, ha arrestato "sei imputati di avere effettuato attacchi ransomware contro i server di aziende americane e sudcoreane". I sei sospetti in questione sono accusati di far parte del gruppo ransomware Clop, noto in occidente per gli attacchi informatici ai danni di aziende private, chiedendo poi un doppio riscatto per il decryptor e per la non diffusione online dei dati rubati.

Celebre è stata la sequenza di attacchi che sfruttavano una vulnerabilità delle apparecchiature di Accellion, che hanno coinvolto AG Software e l'Università di Maastricht, l'appaltatore della difesa Bombardier, il colosso dell'Oil&Gad Shell, il produttore di soluzioni per la cyber security Qualys e molti altri.

A mettere nei guai le persone arrestate è stato l'ennesimo attacco, condotto a dicembre contro il rivenditore sudcoreano E-Land, in cui sarebbero stati sottratti i dati di due milioni di carte di credito. Gli attaccanti hanno sfruttato il noto impianto malevolo Cobalt Strike per ottenere la persistenza nella rete della vittima e operare indisturbati, oltre al trojan di accesso remoto Flawedammyy. La polizia sud coreana ha identificato la responsabilità del gruppo Clop.


Le forze dell'ordine hanno condotto 21 perquisizioni nella capitale e nella regione di Kiev. Non è ancora chiaro se gli individui arrestati siano affiliati o membri principali del gruppo ransomware. Un video postato su YouTube dalla polizia ucraina mostra la grande quantità di denaro contante sequestrato, insieme a un'automobile Tesla e a una Mercedes. Le forze dell'ordine sono riuscite a chiudere l'infrastruttura da cui il virus si diffonde e a bloccare i canali per legalizzare le criptovalute acquisite illegalmente.

L'operazione sembra conclusa, anche se come fa notare Mikko Hypponen di F-Secure qualcosa potrebbe essere sfuggito. Il blog Tor di Clop, usato per pubblicare i dettagli dei file rubati, è ancora online. È molto strano, perché in genere quando le forze dell'ordine sgominano una banda di criminali informatici mettono offline i loro siti.

La mancanza di questo passaggio potrebbe indicare che non tutti i membri del gruppo sono stati assicurati alla giustizia. Di conseguenza le azioni criminali potrebbero proseguire anche senza le persone arrestate, che per la legge ucraina rischiano ora fino a otto anni di carcere.
L'azione comunque è una prima risposta concreta alla richiesta dei partecipanti al G7, che hanno chiesto a Russia e altri Stati a smantellare le operazioni dei gruppi ransomware che operano all'interno dei propri confini. Non a caso, la dichiarazione ufficiale della polizia ucraina sottolinea che questi arresti "ricordano che il Paese è un partner forte per gli Stati Uniti nella lotta contro la criminalità informatica e le autorità stanno facendo lo sforzo di negare ai criminali un porto sicuro".

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.