Il cerchio attorno agli affiliati del ransomware REvil diventa ogni giorno più piccolo. Dopo il colpo basso dell'FBI, il 4 novembre è stata Europol a sferrare un altro fendente. Grazie all'attività di coordinamento europeo, le forze dell'ordine rumene hanno arrestato due sospetti ritenuti affiliati al ransomware Sodinokibi / REvil.

Non si tratta di addetti al riciclo di denaro: gli investigatori reputano che i neo arrestati siano responsabili dell'infezione di migliaia di vittime. Il Tribunale di Bucarest ha disposto per entrambi la detenzione preventiva per 30 giorni. Nel frattempo, DIICOT (la Direzione rumena per le indagini sul crimine organizzato e il terrorismo) e gli agenti della Polizia giudiziaria hanno effettuato quattro perquisizioni domiciliari a Costanza. Sono stati sequestrati notebook, telefoni cellulari e supporti di archiviazione.

Lo stesso giorno, le autorità del Kuwait hanno arrestato un affiliato al ransomware GandCrab. Sommando questi arresti a quelli condotti da inizio anno, i sospetti legati a REvil che sono stati assicurati alla giustizia sono saliti a sette.

Nell'annuncio ufficiale, Europol spiega che gli ultimi arresti relativi a REvil e GrandCrab sono il risultato dell'operazione GoldDust, che ha coinvolto le Forze dell'ordine di 17 paesi, Eurojust, Interpol e La Joint Cybercrime Action Taskforce (J-CAT) di Europol. Insieme hanno identificato, intercettato e sequestrato alcune delle infrastrutture utilizzate dalla famiglia di ransomware Sodinokibi/REvil, inquadrata come successore di GandCrab.

La lotta al ransomware senza la Russia

Le forze dell'ordine di tutto il mondo si sono rese conto che non potranno assicurare alla giustizia gli operatori ransomware che risiedono in Russia, a meno che gli sforzi diplomatici non portino il Cremlino a più miti consigli. Tuttavia, la natura stessa del modello di business dei gruppi ransomware moderni consente di operare interventi determinanti. Con il Ransomware-as-a-Service (RaaS) gli affiliati sono sparsi in tutto il mondo: intervenendo in tutti i Paesi eccetto la Russia (e ovviamente la Cina, la Corea del Nord e altri), è possibile interromperne le attività.

REvil sta affrontando la peggiore campagna di contrasto mai allestita a livello internazionale. Bitdefender, in collaborazione con le Forze dell'ordine, ha reso disponibile uno strumento che aiuta le vittime di Sodinokibi / REvil a ripristinare i file crittografati con gli attacchi antecedenti luglio 2021. A ottobre in Europa è stato arrestato un suo affiliato. A febbraio, aprile e ottobre 2021 le autorità della Corea del Sud hanno arrestato tre affiliati. Ora si aggiungono altri tre arresti, e probabilmente la scia positiva non si è ancora conclusa.