Al termine di un’operazione internazionale, coordinata da Europol, sono state interrotte le attività di Ragnar Locker, gruppo noto per l’omonimo ransomware sfruttato per colpire numerose aziende dalla fine del 2019. Sono stati sequestrati i siti usati per la negoziazione dei riscatti e la pubblicazione dei dati rubati. Arrestato anche uno dei principali sviluppatori del malware.
Smantellate le attività di Ragnar Locker
All’operazione, condotta per l’Italia dalla Polizia Postale e denominata Operazione Talpa, hanno partecipato 11 paesi. I server che costituivano l’infrastruttura sono stati sequestrati in Olanda, Svezia e Germania. Le forze dell’ordine hanno chiuso il sito Tor usato per la negoziazione dei riscatti e quello sul quale venivano pubblicati i dati, denominato Wall of Shame (Muro della Vergogna) dai cybercriminali, se le vittime non effettuavano il pagamento (doppia estorsione).
Dopo aver eseguito una perquisizione nella sua abitazione di Praga, uno dei principali sviluppatori di Ragnar Locker è stato arrestato all’aeroporto di Parigi. La Polizia Postale spiega che l’identificazione e localizzazione dell’intera infrastruttura è stata effettuata a partire dall’analisi forense dei sistemi colpiti ad ottobre 2020 e l’uso di intercettazioni informatiche internazionali.
Ragnar Locker è un ransomware apparso a fine 2019. Negli ultimi tre anni ha colpito almeno 168 aziende in Europa e Stati Uniti. Il gruppo chiedeva riscatti compresi tra 5 e 70 milioni di dollari. L’accesso alle reti veniva effettuato soprattutto tramite RDP (Remote Desktop Protocol). Tra le vittime ci sono anche aziende che erogano servizi pubblici essenziali in diversi settori (sanità, energia, trasporti e comunicazioni).
Ad ottobre 2021 erano stati arrestati due membri del gruppo. Purtroppo, come già accaduto in passato, i cybercriminali potrebbero ripristinare l’infrastruttura e continuare le loro attività illegali, cambiando nome e/o collaborando con altri gruppi.