From Ragnar locker to Lockbit, one year of operations supported by Europol against ransomwares – Emmanuel Kessler
L’intervento che Emmanuel Kessler, Head of Prevention & Outreach at EC3, Cybercrime Centre, EUROPOL ha tenuto durante la 12a edizione della Cyber Crime Conference ha descritto varie operazioni condotte dalle Forze dell’Ordine a contrasto di gruppi ransomware e organizzazioni cybercriminali, trattando argomenti come la formazione di task force congiunte, partnership con aziende private, sviluppo di strumenti di decrittazione, smantellamento di infrastrutture criminali, sequestro di criptovalute e arresti effettuati durante queste operazioni. Le attività di contrasto portate avanti da Europol hanno preso di mira gruppi ransomware importanti come REvil, Hive e LockBit, capaci di creare danni finanziari significativi in più paesi. Il relatore ha inoltre messo in evidenza la crescente sofisticazione delle minacce informatiche e la necessità di approcci innovativi, quadri normativi e cooperazione internazionale per combattere efficacemente questo tipo di realtà.
Guarda il video completo dell’intervento:
Centro Europeo per la Lotta contro il Cybercrime (EC3) di Europol
Dal suo istituto nel 2013, il Centro Europeo per la Lotta contro il Crimine Informatico (EC3) ha svolto un ruolo cruciale nella lotta al crimine informatico. Ora vede oltre 100 dipendenti che si occupano di cyber intelligence, operations e supporto alle operazioni, threat assessment e funge da hub centrale contro i crimini transfrontalieri supportando le operazioni degli Stati Membri con analisi, coordinamento e competenze tecniche e offrendo supporto forense e di analisi della cryptocurrencies. Inoltre, facilita la collaborazione tra le Forze dell’Ordine e le Istituzioni UE, contribuisce alla formazione e alla sensibilizzazione e promuove l’interazione con il settore privato e l’accademia.
Un importante contributo è il progetto “No More Ransom” (NMR) che nasce da un’iniziativa congiunta che include il Centro Europeo per la Lotta al Crimine Informatico di Europol, dell’Unità Nazionale per i Crimini Tecnologici della Polizia olandese e di McAfee, creata per aiutare le vittime di ransomware. Lanciata nel luglio 2016, questa risorsa gratuita ha assistito oltre 6 milioni di persone e vede la partecipazione di più di 190 partner tra Forze dell’Ordine, settore privato e mondo accademico. Le risorse sono disponibili in 38 lingue diverse e comprendono più di 140 strumenti capaci di decrittare oltre 170 tipi di ransomware, offrendo così una terza nuova opzione alle vittime di ransomware che non sono più costrette a pagare il riscatto o a perdere i loro file.
Un lavoro fondamentale viene svolto anche dall’International Ransomware Response Model (IRRM), un nuovo modello di intervento internazionale per affrontare le minacce di ransomware sviluppato attraverso l’esperienza accumulata in centinaia di indagini su casi di alto profilo dal 2013 da parte dall’European Cybercrime Centre (EC3) e dal Joint Cybercrime Action Taskforce (J-CAT). Il modello è costruito analizzando la struttura di attacco del ransomware, identificando diverse strategie investigative e implementando le misure di risposta necessarie per contrastarlo efficacemente.
Le Grandi Operazioni Anti-Ransomware: Successi, Sfide e Strategie Future
Emmanuel Kessler ha presentato alcune delle operazioni più rilevanti nel contrasto ai gruppi ransomware e alle attività cybercriminali. Ha discusso dell’Operazione Dawnbreaker contro il gruppo Hive, l’Operazione Parker rivolta al ransomware DoppelPaymer e l’Operazione Chipmixer, che ha visto lo smantellamento di un servizio di riciclaggio di criptovalute. Ha poi illustrato l’Operazione Qakbot, che ha neutralizzato un botnet impiegato in attacchi ransomware e le operazioni di contrasto ai gruppi ransomware Ragnar Locker (Operazione Talpa) e 5th Element. Il relatore ha inoltre evidenziato l’Operazione Cronos promossa nei confronti di LockBit come un significativo successo contro uno dei gruppi di ransomware-as-a-service più dannosi, che ha portato ad arresti, smantellamento di infrastrutture e confische di criptovalute. La presentazione ha enfatizzato l’elevata professionalità dei cybercriminali, la necessità di cooperazione internazionale, l’importanza dei quadri giuridici, delle adeguate competenze tecniche e di integrare l’innovazione negli sforzi delle Forze dell’Ordine al fine di fornire la giusta risposta al fenomeno ransomware e alla criminalità informatica.
Operazione Dawnbreaker: ha preso di mira il gruppo ransomware Hive, attivo dal 2018, che negli anni aveva colpito grandi multinazionali del settore IT e petrolifero, infrastrutture critiche, governi e aziende di telecomunicazioni. L’operazione ha portato allo smantellamento dell’infrastruttura Hive, alla fornitura delle chiavi di decrittazione alle vittime e a risparmiare ingenti somme legate ai pagamenti di riscatto stimate in 120 milioni di euro.
Operazione Parker: la Polizia Regionale Tedesca (Landeskriminalamt Nordrhein-Westfalen) e la Polizia Nazionale Ucraina, con il supporto di Europol, della Polizia Olandese e dell’FBI, hanno colpito i membri chiave del gruppo criminale responsabile di attacchi su larga scala per mezzo del ransomware DoppelPaymer. Emerso nel 2019 e derivato dal BitPaymer e dalla famiglia di malware Dridex, è stato distribuito tramite email di phishing/spam, il gruppo criminale ha inoltre adottato uno schema di doppia estorsione inaugurando nel 2020 un sito per la fuga di informazioni. Le autorità tedesche hanno identificato 37 vittime aziendali, tra cui l’Università di Düsseldorf. Negli USA, le vittime hanno pagato almeno 40 milioni di euro tra il 2019 e il 2021. Durante le operazioni, sono stati effettuati raid e sequestri in Germania e Ucraina, con Europol che ha fornito supporto nelle operazioni e nelle analisi forensi.
Operazione Atlas: le autorità tedesche e statunitensi, con il supporto di Europol, hanno colpito ChipMixer, un mixer di criptovalute famoso nel mondo cybercriminale come la più grande piattaforma di riciclaggio di denaro nel dark web. L’indagine, supportata anche da Belgio, Polonia e Svizzera, ha portato il 15 marzo al sequestro dell’infrastruttura di ChipMixer, di quattro server, circa 1909.4 Bitcoin in 55 transazioni (valore approssimativo di 44,2 milioni di EUR) e 7 TB di dati. ChipMixer, operativo dal 2017, offriva anonimato completo ai suoi clienti trasformando i fondi in token chiamati “chip” che venivano poi mescolati tra loro per nascondere l’origine dei capitali. Si stima che la piattaforma abbia facilitato il riciclaggio di 152.000 Bitcoin – circa 2,73 miliardi di EUR – provenienti da attività illecite come traffico di droga, armi, ransomware e frodi con carte di pagamento.
Operazione EndGame: l’infrastruttura della botnet Qakbot è stata smantellata grazie a un’operazione internazionale coordinata da Europol, con il supporto di Eurojust. Il malware ha infettato oltre 700.000 computer dal 2007, raccogliendo pagamenti di riscatto per circa 54 milioni di EUR. L’operazione ha coinvolto autorità giudiziarie e di polizia di Francia, Germania, Lettonia, Paesi Bassi, Romania, Regno Unito e Stati Uniti. Qakbot ha mirato a infrastrutture critiche e aziende, rubando dati finanziari e credenziali di accesso. L’indagine ha portato al sequestro di quasi 8 milioni di EUR in criptovalute e ha rivelato che i server infettati da Qakbot erano attivi in quasi 30 paesi tra America, Africa e Asia.
Operazione Talpa: le autorità giudiziarie e di polizia di undici paesi, coordinate da Europol ed Eurojust, hanno inflitto un duro colpo al gruppo Ragnar Locker, una delle più pericolose ransomware gang degli ultimi anni. L’operazione internazionale ha visto perquisizioni in Repubblica Ceca, Spagna e Lettonia, culminando con l’arresto a Parigi del principale sospettato, ritenuto artefice del gruppo e all’interrogazione di cinque sospettati. L’infrastruttura del ransomware è stata smantellata in Olanda, Germania e Svezia e il sito di fuga dati associato è stato disattivato in Svezia. Questa azione segue un’indagine complessa guidata dalla Gendarmerie Nationale Francese, con il supporto di autorità di diversi paesi, tra cui Italia, Giappone e USA.
Operazione Cronos: Questa operazione ha colpito il gruppo di ransomware LockBit, identificato come un attore globale nell’ecosistema del ransomware-as-a-service, responsabile di circa il 25% degli attacchi ransomware dal 2019 e causa di miliardi di euro di danni in 64 paesi. L’operazione, avviata nel 2022, ha portato ad arresti, alla distruzione dell’infrastruttura, all’identificazione di numerosi conti, al congelamento di 10 milioni di euro in criptovalute e al supporto alle vittime. Questo intervento internazionale, orchestrato a livello europeo da Europol e Eurojust nell’ambito dell’Operazione Cronos, ha portato alla disattivazione di 34 server in diverse nazioni, inclusi i Paesi Bassi, Germania, Finlandia, Francia, Svizzera, Australia, Stati Uniti e Regno Unito, all’arresto di due esponenti chiave in Polonia e Ucraina, sono stati inoltre emessi tre mandati di cattura internazionali.
Operazione 5th Element: In un’attività congiunta che ha coinvolto le Forze di Polizia e le Autorità Giudiziarie di otto paesi, 12 cybercriminali responsabili di attacchi ransomware a infrastrutture critiche a livello globale sono stati indagati. Questi attacchi hanno compromesso oltre 1.800 sistemi in 71 paesi. L’intervento è stato effettuato all’alba del 26 ottobre in Ucraina e Svizzera. Durante l’operazione, sono stati sequestrati oltre 52.000 dollari in contanti e 5 auto di alta fascia. Anche numerosi dispositivi elettronici sono stati confiscati per analisi forensi approfondite. Gli indagati avevano ruoli distinti all’interno di reti criminali fortemente strutturate, specializzati nell’attacco alle reti IT mediante tecniche come brute force, SQL injection, furto di credenziali e phishing. Gli hacker hanno inoltre implementato malware avanzati come Trickbot e framework di post-sfruttamento quali Cobalt Strike o PowerShell Empire e hanno utilizzato ransomware come LockerGoga, MegaCortex e Dharma per criptare i dati delle vittime. L’operazione, coordinata da Europol e Eurojust, ha messo in luce l’importanza della cooperazione internazionale nel tracciare e neutralizzare questi attori malevoli.
Conclusioni
L’Head of Prevention & Outreach at EC3, Cybercrime Centre di EUROPOL ha evidenziato l’aumento delle capacità dei criminali informatici, spesso potenziato dall’uso dell’intelligenza artificiale, sottolineando l’urgente necessità per le Forze dell’Ordine di adottare nuove strategie, rafforzare i quadri normativi, potenziare le capacità tecniche e incrementare la collaborazione con il settore privato per combattere con efficacia il ransomware così come le altre forme di criminalità informatica. Ha messo in luce i successi conseguiti, condividendo con la platea operazioni specifiche che hanno portato ad arresti, allo smantellamento di infrastrutture criminali complesse, al sequestro di criptovalute e al supporto alle vittime. Ha poi rimarcato l’importanza di un processo continuo di raccolta dati e di processi operativi congiunti al fine di neutralizzare le attività criminali nel settore informatico.
Il programma completo della Cyber Crime Conference 2024 è disponibile al seguente link: https://www.ictsecuritymagazine.com/eventi/cybercrimeconference2024#programma
Iscriviti alla nostra newsletter per rimanere aggiornate sulle nostre iniziative: https://www.ictsecuritymagazine.com/newsletter/