Europol ha sostenuto una nuova serie di azioni contro gli attori di LockBit, che ha coinvolto 12 Paesi ed Eurojust e ha portato a quattro arresti e al sequestro di server critici per l’infrastruttura di LockBit.
Nell’autunno 2024 Europol ha sostenuto una nuova serie di azioni contro gli attori di LockBit, che ha coinvolto 12 Paesi ed Eurojust e ha portato a quattro arresti e al sequestro di alcuni server critici per l’infrastruttura di LockBit 3.0.
Continua quindi l’Operazione Cronos contro LockBit che si era concretizzata il 20 febbraio 2024 con il blocco dell’infrastruttura server del gruppo cybercriminale russo.
Ne abbiamo parlato in questo articolo.
Un sospetto sviluppatore di LockBit è stato arrestato su richiesta delle autorità francesi, mentre le autorità britanniche hanno arrestato due persone per aver sostenuto l’attività di un affiliato di LockBit.
Gli agenti spagnoli hanno sequestrato nove server, parte dell’infrastruttura del ransomware, e arrestato un amministratore di un servizio di hosting Bulletproof utilizzato dal gruppo ransomware.
Inoltre, Australia, Regno Unito e Stati Uniti hanno implementato sanzioni contro un attore che la National Crime Agency aveva identificato come affiliato prolifico di LockBit e fortemente legato a Evil Corp. Quest’ultimo provvedimento arriva dopo che LockBit ha affermato che i due gruppi di ransomware non lavorano insieme. Il Regno Unito ha sanzionato altri quindici cittadini russi per il loro coinvolgimento nelle attività criminali di Evil Corp, mentre gli Stati Uniti hanno sanzionato sei cittadini e l’Australia due.
Questi sono alcuni dei risultati della terza fase dell’Operazione Cronos, uno sforzo collettivo di lunga durata delle autorità di polizia di 12 paesi, di Europol e di Eurojust, che hanno unito le forze per interrompere efficacemente a tutti i livelli le operazioni criminali del gruppo ransomware LockBit. Queste azioni fanno seguito alla massiccia interruzione dell’infrastruttura di LockBit nel febbraio 2024, nonché all’ampia serie di sanzioni e azioni operative che hanno avuto luogo contro gli amministratori di LockBit a maggio e nei mesi successivi.
Tra il 2021 e il 2023, LockBit è stata la variante di ransomware più diffusa a livello globale, con un numero notevole di vittime dichiarate sul sito di fuga dei dati. Lockbit operava sul modello del riscatto come servizio.
Il gruppo principale vendeva l’accesso agli affiliati e riceveva una parte dei pagamenti dei riscatti raccolti, secondo il modello RaaS (Ransomware-as-aService).
Le entità che hanno diffuso gli attacchi ransomware di LockBit hanno preso di mira organizzazioni di varie dimensioni che coprono settori di infrastrutture critiche come i servizi finanziari, l’alimentazione e l’agricoltura, l’istruzione, l’energia, i servizi governativi e di emergenza, la sanità, la produzione e i trasporti.
A causa del numero considerevole di affiliati indipendenti coinvolti, gli attacchi ransomware LockBit mostrano una significativa variazione nelle tattiche, nelle tecniche e nelle procedure osservate.
Con il supporto di Europol, la polizia giapponese, la National Crime Agency e il Federal Bureau of Investigation hanno concentrato le loro competenze tecniche sullo sviluppo di strumenti di decriptazione progettati per recuperare i file criptati dal LockBit Ransomware.
Anche il supporto del settore della sicurezza informatica si è rivelato fondamentale per ridurre al minimo i danni degli attacchi ransomware, che rimangono la principale minaccia della criminalità informatica. Molti partner hanno già fornito strumenti di decriptazione per diverse famiglie di ransomware attraverso il sito web “No More Ransom”.
Queste soluzioni sono state rese disponibili gratuitamente sul portale “No More Ransom”, disponibile in 37 lingue. Finora, più di 6 milioni di vittime in tutto il mondo hanno beneficiato di No More Ransom, che contiene oltre 120 soluzioni in grado di decriptare più di 150 tipi diversi di ransomware.
Europol ha facilitato lo scambio di informazioni, ha sostenuto il coordinamento delle attività operative e ha fornito un supporto analitico operativo, nonché un supporto di tracciamento crittografico e forense. Il flusso di lavoro di analisi proposto dopo la prima operazione ha consentito un lavoro congiunto incentrato sull’identificazione degli attori di LockBit. Le avanzate capacità di demiscelazione del Centro per la criminalità informatica di Europol hanno permesso di identificare diversi obiettivi.
Dopo l’avvio delle operazioni contro l’infrastruttura di LockBit all’inizio del 2024, Europol ha organizzato sette sprint tecnici, tre dei quali interamente dedicati al tracciamento delle criptovalute. Durante le giornate di azione, Europol ha inviato un esperto per fornire supporto in loco alle autorità nazionali.
La Task Force congiunta di azione contro la criminalità informatica (J-CAT) di Europol ha sostenuto l’operazione. Questa squadra operativa permanente è composta da funzionari di collegamento informatico di diversi Paesi che lavorano dallo stesso ufficio su indagini di alto profilo sulla criminalità informatica.
Le Autorità di polizia che hanno partecipato all’operazione Cronos sono state addirittura dodici:
- Australia: Australian Federal Police
- Canada: Royal Canadian Mounted Police/ Gendarmerie royale du Canada
- France: Gendarmerie – (Gendarmerie Nationale – Unité nationale cyber C3N); Court of Paris JUNALCO (National Jurisdiction against Organised Crime) Cybercrime Unit
- Germany: State Bureau of Criminal Investigation (Landeskriminalamt Kiel) and Federal Criminal Police Office (Bundeskriminalamt)
- Japan: National Police Agency of Japan (警察庁)
- Spain: Spanish Civil Guard (Guardia Civil)
- Sweden: Swedish Police Authority
- Switzerland: Switzerland Fedpol – Zurich State Police
- Netherlands: National Police (Politie) Dienst Regionale Recherche Oost-Brabant
- Romania: National Police Central Cybercrime Unit
- United Kingdom: National Crime Agency, South West Regional Organised Crime Unit (South West ROCU)
- United States: Federal Bureau of Investigation Newark
Tra queste possiamo notare che non compare l’Italia… purtroppo mai molto presente in queste operazioni congiunte di contrasto al cybercrime.
© Copyright 2024 Giorgio Sbaraglia
All rights reserved.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.