Sommario
Le autorità giudiziarie e le agenzie di contrasto hanno inferto un colpo strategico alle infrastrutture centrali del crimine informatico. In pochi giorni, una serie di operazioni congiunte ha smantellato centinaia di server usati per diffondere ransomware, gestire botnet e fornire accesso iniziale ai sistemi compromessi. L’impatto è globale: coinvolge decine di indagati, milioni di euro sequestrati, e l’identificazione pubblica di membri di gruppi criminali legati a Qakbot, TrickBot e DanaBot.
L’iniziativa ha coinvolto Europol, FBI, Bundeskriminalamt, US DoJ e numerose agenzie partner e si colloca in una fase in cui il contrasto al ransomware punta non solo all’identificazione degli attacchi ma alla disarticolazione dell’intera catena di supporto logistico e tecnico che li rende possibili. L’operazione, battezzata Endgame, ha segnato un’escalation qualitativa nella capacità di neutralizzare malware loader, canali di affiliazione e sistemi di monetizzazione illecita.
Europol smantella 300 server: colpita l’infrastruttura della filiera ransomware
Dal 19 al 22 maggio, la polizia europea ha condotto una vasta operazione che ha portato al sequestro di oltre 300 server e alla disattivazione di 650 domini malevoli, tutti collegati a infrastrutture che forniscono accesso iniziale, loader, exploit kit e servizi proxy a gruppi ransomware. Denominata Operation Endgame, l’iniziativa ha preso di mira varianti di malware attive nella supply chain criminale, tra cui Bumblebee, QakBot, HijackLoader, DanaBot, TrickBot, Lactrodectus e Warmcookie.
Durante l’intervento, sono stati sequestrati 3,5 milioni di euro in criptovalute, portando a oltre 21 milioni di euro il totale confiscato nelle varie fasi dell’operazione. Inoltre, sono stati emessi 20 mandati di arresto internazionali contro soggetti chiave nella gestione dei servizi che supportano campagne ransomware in tutto il mondo. L’approccio investigativo, in questa fase, non si limita più al payload ma si estende all’intera “kill chain” dell’attacco, colpendo snodi tecnici e intermediari infrastrutturali.
Europol ha confermato che tra gli obiettivi prioritari figurano operatori specializzati nel brokeraggio di accessi compromessi, base essenziale per le campagne ransomware-as-a-service. La loro neutralizzazione impedisce l’avvio stesso delle infezioni, colpendo alla radice la capacità operativa dei gruppi criminali.
Il Dipartimento di Giustizia statunitense incrimina un leader del gruppo QakBot
In parallelo all’azione europea, il Dipartimento di Giustizia degli Stati Uniti ha formalizzato un’incriminazione contro un cittadino russo, accusato di essere una figura di primo piano del gruppo responsabile della gestione e distribuzione del malware QakBot, noto per aver infettato oltre 700.000 dispositivi e facilitato estorsioni ransomware multimilionarie.
L’uomo avrebbe ricoperto un ruolo chiave nell’amministrazione tecnica del botnet, curando la registrazione dei server C2, il deployment degli aggiornamenti del malware e la gestione delle affiliazioni ransomware. Le prove presentate includono comunicazioni interne, wallet crypto utilizzati per incassare riscatti e log di controllo delle infrastrutture compromesse. L’inchiesta, condotta da FBI, IRS-CI e partner internazionali, ha portato anche al sequestro di asset digitali e all’acquisizione forense dei server controllati dall’imputato.
Secondo il DoJ, QakBot è stato uno dei vettori più prolifici nel facilitare attacchi ransomware a ospedali, università e infrastrutture pubbliche negli ultimi tre anni, e la sua disarticolazione costituisce una priorità strategica per la sicurezza interna.
Smantellata la rete DanaBot: arresti e server sequestrati tra Europa e Stati Uniti
Un ulteriore fronte d’indagine ha riguardato la rete di diffusione del malware DanaBot, responsabile negli ultimi anni di furti bancari, accessi remoti, installazione di ransomware e operazioni di spionaggio commerciale. L’attività investigativa coordinata da FBI, Europol, Polizia di Stato Italiana e altri partner ha portato al sequestro di server in cinque Paesi, al blocco di transazioni in criptovalute e all’acquisizione di strumenti di gestione remota utilizzati per il controllo del botnet.
DanaBot si è distinto come piattaforma modulare venduta in modalità Malware-as-a-Service, in grado di adattarsi alle esigenze di operatori criminali differenti, grazie a un’infrastruttura scalabile e a moduli per l’esfiltrazione, la keylogging, il tunneling e l’esecuzione di payload aggiuntivi. Le versioni più recenti utilizzano tecniche avanzate di cifratura del traffico, impiegano server onion per il C2 e incorporano meccanismi di aggiornamento dinamico che consentono il pivoting tra gruppi affiliati.
Nel corso dell’operazione sono stati arrestati diversi individui legati al circuito DanaBot, tra cui un cittadino ucraino inserito nella lista EU Most Wanted, ritenuto uno degli amministratori tecnici dell’intera architettura. L’individuo coordinava la gestione delle licenze del malware e l’assistenza tecnica agli affiliati, fornendo aggiornamenti e patch contro i sistemi di rilevamento più recenti. La sua cattura rappresenta un passo significativo nel disarmo operativo della rete DanaBot, in quanto rompe il ciclo di supporto interno alla comunità malware-oriented.
Una nuova fase investigativa: il bersaglio è l’infrastruttura, non solo l’attacco
Le operazioni condotte negli ultimi giorni confermano che il contrasto al cybercrime sta entrando in una nuova fase strutturale. L’obiettivo non è più soltanto il singolo attacco o la sua mitigazione, ma la distruzione delle capacità sistemiche degli attori criminali: server, domini, strumenti di aggiornamento, canali di reclutamento e sistemi di pagamento.
Questo approccio cambia anche la distribuzione della responsabilità operativa: il bersaglio si estende agli operatori di accesso iniziale, ai fornitori di hosting bulletproof, agli sviluppatori di loader e ai gestori delle reti di affiliazione. La criminalità informatica non è più vista come un insieme di individui, ma come una supply chain logistica da bloccare, analizzare e decostruire.
L’operazione Endgame, l’incriminazione di vertici tecnici e la collaborazione con attori privati per la tracciatura dei fondi crypto dimostrano che le istituzioni stanno imparando a muoversi con la stessa resilienza e flessibilità degli aggressori. La sfida non è solo tecnica, ma sistemica. E, per la prima volta, le forze dell’ordine stanno rispondendo con un modello di azione altrettanto distribuito.
