Europol ed Eurojust hanno coordinato un'operazione di intelligence congiunta delle autorità di mezza Europa che ha portato all'arresto di 12 persone ritenute implicate in attacchi ransomware contro 1.800 vittime in 71 Paesi. È l'ennesima operazione di successo di Europol. Soprattutto è l'ennesima riconferma del fatto che la collaborazione internazionale è la chiave di volta per combattere il cybercrime, ossia una minaccia che non conosce confini geografici.

La questione geografica

I casi di successo di Europol sono ormai molti. Sempre più spesso coinvolgono l'Ucraina, e non è un caso. Il Paese è stato il primo a rispondere all'appello di collaborazione dei Paesi occidentali. E la quantità di arresti sul suo territorio è la chiara dimostrazione del potenziale che potrebbe avere un atteggiamento collaborativo da parte di tutti i paesi dell'est Europa, e soprattutto della Russia.

Anche se gli attacchi non conoscono confini, gli investigatori sanno da tempo che è questa, per motivi storici, politici e culturali, l'area fisica in cui si concentra un'alta percentuale di criminali informatici (al netto ovviamente dell'estremo oriente). Dopo i molteplici arresti condotti in Ucraina, è ormai chiaro che il Paese non è più un lido sicuro.

Il problema è dove spostarsi. In un messaggio apparso su un forum del dark web pochi giorni fa, i criminali informatici esortavano a non attaccare aziende e istituzioni cinesi, perché se la Russia dovesse collaborare con le forze dell'ordine occidentali, è lì che i criminali informatici dovrebbero cercare rifugio.

La strategia investigativa

Se geograficamente parlando il cerchio si sta stringendo, sotto il profilo investigativo i passi avanti sono epocali. I nodi che stanno venendo al pettine a un ritmo sempre più incalzante sono infatti frutto di un percorso che è partito da lontano.

A livello pubblico è solo da quest'anno che si parla di collaborazione internazionale contro il cyber crime. Prima si era pensati a credere che ogni Paese facesse per sé. O forse gli investigatori volevano che questa fosse l'opinione pubblica, oltre che dei criminali. Invece alcuni dettagli hanno dimostrato che non è proprio così. Prendiamo ad esempio la notizia oggetto di questa notizia.

La Polizia Ucraina spiega nella comunicazione ufficiale che fra gli attacchi di cui sono ritenuti responsabili gli attaccanti c'è quello ai danni di Norsk Hydro (il colosso mondiale dell'alluminio) nel marzo 2019. Le indagini forensi molto scrupolose hanno permesso di raccogliere prove che sono state consegnate a un pool di agenti norvegesi, francesi, britannici e ucraini.

Questi ultimi componevano una cosiddetta "squadra investigativa congiunta" che esiste dal 2019 e che è stata supportata anche dalle forze dell'ordine americane, olandesi, svizzere e tedesche, oltre che ovviamente da Europol ed Eurojust. È così che si è risaliti ai possibili responsabili e si è proceduto agli arresti, oltre che al sequestro di materiale informatico, di 52.000 dollari in contanti e cinque veicoli di lusso.

Potrebbero esserci altre indagini in corso a seguito di altri incidenti informatici verificatisi dal 2019 in poi. Non solo. Se seguendo le tracce gli investigatori hanno formulato accuse e fatto arresti, significa che i responsabili hanno lasciato dietro di sé delle tracce, inconsapevoli di essere braccati. È successo solo con l'attacco a Hydro o anche con altri?

Le conseguenze degli arresti

Come sempre, non è detto che gli arresti causino la chiusura delle attività di un gruppo criminale. Per com'è organizzato il cyber crime, chi è sfuggito alla legge continuerà a svolgere i suoi loschi traffici all'interno della stessa organizzazione, se è sopravvissuta, o riciclandosi in altre, se è stata seriamente danneggiata. Focalizzando l'attenzione solo sulla singola azione investigativa, insomma, sicuramente le forze dell'ordine hanno causato un danno, ma non sempre tale danno è irrimediabile.

Quello più interessante è il quadro d'insieme. Negli ultimi mesi gli arresti di esponenti di gruppi ransomware si stanno susseguendo con una frequenza sempre maggiore. L'attività investigativa ferve sia in Europa che negli USA e sta portando molti frutti. Basti pensare allo smantellamento di Emotet, al durissimo colpo a REvil, ai sopraccitati arresti in Ucraina.

Una lotta al cybercrime combattuta porta a porta, che se nel singolo caso non sembra determinante, nell'insieme impone al cyber crime di ragionare su una riorganizzazione. Può essere un cambio di residenza per gli affiliati, un cambio di strategia negli attacchi, o entrambi. Oppure qualcosa di completamente inedito. La sensazione è che il modello attuale stia porgendo il fianco a un numero di problemi che nel lungo termine potrebbero essere insostenibili.

La sfida per gli investigatori sarà capire che cosa cambierà. Soprattutto se il cambiamento sarà un'azione corale e strutturata da parte dei maggiori gruppi criminali, e non un fuggi fuggi in ordine sparso. Destrutturare una fase di transizione di per sé difficile sarebbe un colpo da maestri. Ma per riuscirci servirebbe quella collaborazione fra pubblico e privato invocata da più parti (compresa l'amministrazione statunitense) ma non ancora attuata in maniera proficua.