▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Arresti fra gruppi ransomware: cyber crime in difficoltà?

Gli ultimi arresti in Ucraina rivelano un'azione sempre più efficace delle forze dell'ordine nel contrasto al cyber crime. A che punto siamo.

Tecnologie/Scenari

Europol ed Eurojust hanno coordinato un'operazione di intelligence congiunta delle autorità di mezza Europa che ha portato all'arresto di 12 persone ritenute implicate in attacchi ransomware contro 1.800 vittime in 71 Paesi. È l'ennesima operazione di successo di Europol. Soprattutto è l'ennesima riconferma del fatto che la collaborazione internazionale è la chiave di volta per combattere il cybercrime, ossia una minaccia che non conosce confini geografici.

La questione geografica

I casi di successo di Europol sono ormai molti. Sempre più spesso coinvolgono l'Ucraina, e non è un caso. Il Paese è stato il primo a rispondere all'appello di collaborazione dei Paesi occidentali. E la quantità di arresti sul suo territorio è la chiara dimostrazione del potenziale che potrebbe avere un atteggiamento collaborativo da parte di tutti i paesi dell'est Europa, e soprattutto della Russia.

Anche se gli attacchi non conoscono confini, gli investigatori sanno da tempo che è questa, per motivi storici, politici e culturali, l'area fisica in cui si concentra un'alta percentuale di criminali informatici (al netto ovviamente dell'estremo oriente). Dopo i molteplici arresti condotti in Ucraina, è ormai chiaro che il Paese non è più un lido sicuro.


Il problema è dove spostarsi. In un messaggio apparso su un forum del dark web pochi giorni fa, i criminali informatici esortavano a non attaccare aziende e istituzioni cinesi, perché se la Russia dovesse collaborare con le forze dell'ordine occidentali, è lì che i criminali informatici dovrebbero cercare rifugio.

La strategia investigativa

Se geograficamente parlando il cerchio si sta stringendo, sotto il profilo investigativo i passi avanti sono epocali. I nodi che stanno venendo al pettine a un ritmo sempre più incalzante sono infatti frutto di un percorso che è partito da lontano.

A livello pubblico è solo da quest'anno che si parla di collaborazione internazionale contro il cyber crime. Prima si era pensati a credere che ogni Paese facesse per sé. O forse gli investigatori volevano che questa fosse l'opinione pubblica, oltre che dei criminali. Invece alcuni dettagli hanno dimostrato che non è proprio così. Prendiamo ad esempio la notizia oggetto di questa notizia.

La Polizia Ucraina spiega nella comunicazione ufficiale che fra gli attacchi di cui sono ritenuti responsabili gli attaccanti c'è quello ai danni di Norsk Hydro (il colosso mondiale dell'alluminio) nel marzo 2019. Le indagini forensi molto scrupolose hanno permesso di raccogliere prove che sono state consegnate a un pool di agenti norvegesi, francesi, britannici e ucraini.

Questi ultimi componevano una cosiddetta "squadra investigativa congiunta" che esiste dal 2019 e che è stata supportata anche dalle forze dell'ordine americane, olandesi, svizzere e tedesche, oltre che ovviamente da Europol ed Eurojust. È così che si è risaliti ai possibili responsabili e si è proceduto agli arresti, oltre che al sequestro di materiale informatico, di 52.000 dollari in contanti e cinque veicoli di lusso.


Potrebbero esserci altre indagini in corso a seguito di altri incidenti informatici verificatisi dal 2019 in poi. Non solo. Se seguendo le tracce gli investigatori hanno formulato accuse e fatto arresti, significa che i responsabili hanno lasciato dietro di sé delle tracce, inconsapevoli di essere braccati. È successo solo con l'attacco a Hydro o anche con altri?

Le conseguenze degli arresti

Come sempre, non è detto che gli arresti causino la chiusura delle attività di un gruppo criminale. Per com'è organizzato il cyber crime, chi è sfuggito alla legge continuerà a svolgere i suoi loschi traffici all'interno della stessa organizzazione, se è sopravvissuta, o riciclandosi in altre, se è stata seriamente danneggiata. Focalizzando l'attenzione solo sulla singola azione investigativa, insomma, sicuramente le forze dell'ordine hanno causato un danno, ma non sempre tale danno è irrimediabile.

Quello più interessante è il quadro d'insieme. Negli ultimi mesi gli arresti di esponenti di gruppi ransomware si stanno susseguendo con una frequenza sempre maggiore. L'attività investigativa ferve sia in Europa che negli USA e sta portando molti frutti. Basti pensare allo smantellamento di Emotet, al durissimo colpo a REvil, ai sopraccitati arresti in Ucraina.

Una lotta al cybercrime combattuta porta a porta, che se nel singolo caso non sembra determinante, nell'insieme impone al cyber crime di ragionare su una riorganizzazione. Può essere un cambio di residenza per gli affiliati, un cambio di strategia negli attacchi, o entrambi. Oppure qualcosa di completamente inedito. La sensazione è che il modello attuale stia porgendo il fianco a un numero di problemi che nel lungo termine potrebbero essere insostenibili.

La sfida per gli investigatori sarà capire che cosa cambierà. Soprattutto se il cambiamento sarà un'azione corale e strutturata da parte dei maggiori gruppi criminali, e non un fuggi fuggi in ordine sparso. Destrutturare una fase di transizione di per sé difficile sarebbe un colpo da maestri. Ma per riuscirci servirebbe quella collaborazione fra pubblico e privato invocata da più parti (compresa l'amministrazione statunitense) ma non ancora attuata in maniera proficua.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?
Lug 18
Ready Informatica Training Online | Cove Data Protection di N-able
Lug 23
Ready Informatica Training Tecnico Avanzato | Parallels RAS
Lug 23
Webinar - Selezione del personale: Un caso pratico HR con DocuWare

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1