Un'azione coordinata da Europol e Interpol, in collaborazione con la gendarmeria francese, la polizia nazionale ucraina e l'FBI, ha portato all'arresto in Ucraina di due uomini ritenuti "due prolifici operatori ransomware, noti per le richieste di riscatto esorbitanti, comprese tra 5 e 70 milioni di euro".

Le forze dell'ordine non hanno diffuso il nome del gruppo ransomware a cui gli affiliati sarebbero legati. L'azione militare ha comportato anche sette perquisizioni immobiliari nella città di Kiev, il sequestro di 375.000 dollari in contanti e di due veicoli di lusso del valore di 217.000 euro. Inoltre, è stato congelato il corrispettivo in criptovalute di 1,3 milioni di dollari.

Europol e la polizia ucraina descrivono i sospetti come entrambi membri dello stesso "gruppo di alto livello", e li ritengono attivi non solo negli attacchi ransomware, ma anche nel riciclaggio di fondi criminali. Le forze dell'ordine attribuiscono al gruppo ransomware di cui erano parte gli arrestati circa un centinaio di attacchi informatici, condotti a partire da aprile 2020 e perpetrati sia contro realtà statunitensi che europee.

Il modus operandi degli attacchi in questione comportava la compromissione della rete target (tramite vulnerabilità VPN o campagne di phishing mirato ai dipendenti), la distribuzione di malware, l'esfiltrazione dei dati e, in ultimo, la crittografia di tutti i file locali. Si stima che i danni totali causati da questo gruppo alle organizzazioni vittime siano pari a 150 milioni di dollari.

Le due persone arrestate rischiano fino a dodici anni di carcere per la violazione di due articoli del codice penale ucraino: uno relativo all'interferenza non autorizzata nelle reti e nei sistemi informatici e uno riguardante il riciclaggio di denaro.

I ransomware continueranno

Questi arresti probabilmente non faranno crollare un'organizzazione criminale basata sul modello RaaS (Ransomware-as-a-Service). Tuttavia, le forze dell'ordine proseguono lo sforzo nel contrasto dei singoli membri nel tentativo di interrompere o per lo meno rallentare le attività del gruppo criminale.

Infatti, pur non bloccando l'organizzazione nel suo complesso, queste azioni di successo diffondono sempre paura e incertezza tra gli altri membri, che potrebbero sfociare nella chiusura temporanea o nel rebranding del gruppo. Quest'ultima opzione non sempre è positiva, nel senso che comporta poi un lavoro maggiore nel monitoraggio della sicurezza informatica.

Ricordiamo che quest'anno la polizia ucraina ha arrestato altre persone ritenute membri dei gruppi ransomware Clop ed Egregor.