Questa settimana le forze dell’ordine e le autorità giudiziarie di 11 paesi hanno inferto un duro colpo a una delle operazioni di ransomware più pericolose degli ultimi anni
Questa azione, coordinata a livello internazionale da Europol ed Eurojust, ha preso di mira il gruppo ransomware Ragnar Locker. Il gruppo è stato responsabile di numerosi attacchi di alto profilo contro infrastrutture critiche in tutto il mondo.
Nell’azione condotta tra il 16 e il 20 Ottobre sono state effettuate perquisizioni in Repubblica ceca, Spagna e Lettonia. L’”obiettivo chiave” di questo ceppo di ransomware dannoso è stato arrestato a Parigi, in Francia, il 16 ottobre, e la sua casa in Repubblica ceca è stata perquisita. Cinque sospetti sono stati interrogati in Spagna e Lettonia nei giorni successivi. Al termine della settimana d’azione, il principale colpevole, sospettato di essere uno sviluppatore del gruppo Ragnar, è stato portato davanti ai magistrati inquirenti del Tribunale di Parigi.
L’infrastruttura del ransomware è stata sequestrata anche nei Paesi Bassi, in Germania e in Svezia, mentre in Svezia è stato bloccato il relativo sito web di fuga di dati su Tor. Questa retata internazionale segue una complessa indagine condotta dalla Gendarmeria Nazionale francese, insieme alle autorità di contrasto di Repubblica Ceca, Germania, Italia, Giappone, Lettonia, Paesi Bassi, Spagna, Svezia, Ucraina e Stati Uniti d’America.
Nell’ambito di questa indagine, nell’Ottobre 2021 è stata effettuata una prima tornata di arresti in Ucraina con il sostegno di Europol.
Che tipo di malware è Ragnar Locker?
Attivo da Dicembre 2019, Ragnar Locker è il nome di un ceppo di ransomware e del gruppo criminale che lo ha sviluppato e gestito. Questo attore malevolo si è fatto un nome attaccando infrastrutture critiche in tutto il mondo, dopo aver recentemente rivendicato gli attacchi contro la compagnia aerea di bandiera portoghese e un ospedale in Israele.
Questo ceppo di ransomware prendeva di mira dispositivi con sistemi operativi Microsoft Windows e in genere sfruttava servizi esposti come Remote Desktop Protocol per ottenere l’accesso al sistema.
Il gruppo Ragnar Locker era noto per impiegare una doppia tattica di estorsione, chiedendo pagamenti esorbitanti per gli strumenti di decrittazione e per il mancato rilascio dei dati sensibili rubati. Il livello di minaccia di Ragnar Locker è stato considerato elevato, data la propensione del gruppo ad attaccare le infrastrutture critiche.
Non chiamare la polizia
Ragnar Locker ha esplicitamente messo in guardia le proprie vittime dal contattare le forze dell’ordine, minacciando di pubblicare tutti i dati rubati delle organizzazioni vittimizzate in cerca di aiuto sul suo sito di fuga di notizie “Wall of Shame” nel dark web.
“Tutto quello che fanno i negoziatori/investigatori dell’FBI/ransomware è incasinare le cose, quindi pubblicheremo le tue cose se chiedi aiuto”, ha annunciato la banda del ransomware Ragnar Locker sul suo sito web nascosto.
Non sapevano che le forze dell’ordine si stavano avvicinando a loro.
Nell’ottobre 2021, investigatori della gendarmeria francese e dell’FBI statunitense, insieme a specialisti di Europol e INTERPOL, sono stati inviati in Ucraina per condurre misure investigative con la polizia nazionale ucraina, portando all’arresto di due importanti operatori di Ragnar Locker.
Da allora le indagini sono continuate e hanno portato agli arresti e alle azioni di disturbo questa settimana. Il Centro europeo per la criminalità informatica di Europol Europol ha sostenuto l’indagine fin dall’inizio, riunendo tutti i paesi coinvolti per stabilire una strategia comune.
I suoi specialisti in criminalità informatica hanno organizzato 15 riunioni di coordinamento e due sprint di una settimana per prepararsi alle ultime azioni, oltre a fornire supporto analitico, malware, forense e di tracciamento crittografico. Questa settimana Europol ha istituito un posto di comando virtuale per garantire un coordinamento senza soluzione di continuità tra tutte le autorità coinvolte.
Supporto di Eurojust:
Il caso è stato aperto da Eurojust nel maggio 2021 su richiesta delle autorità francesi. L’Agenzia ha ospitato cinque riunioni di coordinamento per facilitare la cooperazione giudiziaria tra le autorità dei paesi che hanno sostenuto le indagini. Eurojust ha istituito un centro di coordinamento durante la settimana d’azione per consentire una rapida cooperazione tra le autorità giudiziarie coinvolte.
Il capo del Centro europeo per la criminalità informatica di Europol, Edvardas Šileris, ha dichiarato:
Questa indagine dimostra che, ancora una volta, la cooperazione internazionale è la chiave per sconfiggere i gruppi di ransomware. La prevenzione e la sicurezza stanno migliorando, ma gli operatori di ransomware continuano a innovarsi e a trovare nuove vittime. Europol svolgerà il proprio ruolo nel sostenere gli Stati membri dell’UE nel prendere di mira questi gruppi e ogni caso ci aiuta a migliorare le nostre modalità di indagine e la nostra comprensione di questi gruppi. Spero che questa serie di arresti invii un messaggio forte agli operatori di ransomware che pensano di poter continuare i loro attacchi senza conseguenze.
press release – Europol