Le forze di polizia di sette paesi, coordinate da Europol ed Eurojust, hanno smantellato un gruppo di cybercriminali responsabili di numerosi attacchi ransomware contro organizzazioni di 71 paesi. L’operazione ha portato all’arresto di cinque persone in Ucraina, tra cui il leader 32enne della gang.
LockerGoga, MegaCortex, HIVE e Dharma
L’indagine è iniziata oltre quattro anni fa dalle forze dell’ordine di Francia, Germania, Norvegia, Olanda, Ucraina, Svizzera e Stati Uniti. I primi arresti erano stati effettuati nel 2021. Dall’analisi forense dei dispositivi sequestrati sono state raccolte prove che hanno portato all’identificazione del leader del gruppo e di quattro complici, tutti arrestati il 21 novembre nelle regioni di Kyiv, Cherkasy, Rivne e Vinnytsia in Ucraina.
Durante la perquisizione di 30 abitazioni sono stati sequestrati dispositivi elettronici, computer, automobili e SIM card. Sequestrati anche conti bancari e criptovalute per l’equivalente di circa 110.000 dollari.
I cybercriminali hanno effettuato una serie di attacchi contro le aziende di 71 paesi, usando diversi ransomware, tra cui LockerGoga, MegaCortex, HIVE e Dharma. Ogni membro della gang aveva un ruolo specifico. Alcuni avevano il compito di accedere alle reti aziendali utilizzando varie tecniche (forza bruta, SQL injection, email di phishing) per ottenere le credenziali di login. Successivamente venivano usati malware (TrickBot), Cobalt Strike e PowerShell Empire per individuare i computer sui quali installare il ransomware.
La gang ha cifrato oltre 250 server, causando perdite economiche di centinaia di milioni di euro. Altri membri della gang avevano il compito di riciclare i pagamenti in criptovalute effettuati dalle aziende per ricevere la chiave che permette di decifrare i file. A tale proposito, le autorità svizzere e Bitdefender hanno sviluppato i decryptor per LockerGoga e MegaCortex che possono essere scaricati dal sito No More Ransom.