Dopo aver portato a termine con successo l’operazione Dark HunTOR, Europol e le forze di polizia di altri 8 paesi hanno arrestato 12 persone ritenute responsabili di numerosi attacchi ransomware contro diverse infrastrutture critiche. I cybercriminali erano affiliati a varie piattaforma RaaS (Ramsowmare-as-a-Service). Le autorità tedesche hanno invece identificato un membro del famigerato gruppo REvil.
Ransomware e profitti illeciti
Secondo gli investigatori, i 12 cybercriminali hanno partecipato ad oltre 1.800 attacchi in 71 paesi, la maggioranza dei quali eseguito contro grandi aziende. Gli arresti sono avvenuti il 26 ottobre in Ucraina e Svizzera. Nel corso dell’operazione sono stati sequestrati circa 52.000 dollari in contanti e 5 veicoli di lusso, oltre a diversi dispositivi elettronici.
Dopo aver ottenuto l’accesso alle reti aziendali utilizzando varie tecniche (forza bruta, SQL injection, phishing, furto di credenziali e altre), i cybercriminali hanno installato malware (come TrickBot) e tool “post-exploitation” (come Cobal Strike). Successivamente hanno sfruttato vari ransomware, tra cui LockerGoga, MegaCortex and Dharma, per cifrare i file e chiedere il riscatto. Alcuni di essi sono stati coinvolti anche nel riciclaggio del denaro ricevuto in Bitcoin.
Quasi contemporaneamente, le autorità tedesche hanno comunicato di aver arrestato un russo che faceva parte del gruppo REvil. La polizia ha rintracciato il cybercriminale con il tradizionale metodo “follow the money”, dopo aver scoperto l’indirizzo email usato per registrare oltre 60 siti web e il numero di telefono associato all’account Telegram. Su quest’ultimo sono state trovate le prove dei pagamenti ricevuti dalle vittime che hanno pagato i riscatti (oltre 400.000 euro in criptovalute).