Le autorità statunitensi intensificano la lotta al cybercrime globale con due operazioni di alto profilo che portano a estradizioni e condanne per reati legati a ransomware e vendita di exploit sensibili. Da un lato, un cittadino ucraino viene estradato per il suo ruolo nel gruppo Conti, responsabile di attacchi ransomware contro infrastrutture critiche; dall’altro, un ex dirigente di L3Harris Technologies ammette di aver venduto segreti cyber a un broker russo attivo nel mercato nero delle vulnerabilità zero-day. Entrambi i casi mostrano la crescente cooperazione internazionale contro reti criminali transnazionali e l’interconnessione tra spionaggio, estorsione e commercio illegale di exploit.
Cosa leggere
Estradizione ucraina per il caso Conti
Il cittadino ucraino Oleksii Oleksiyovych Lytvynenko, 43 anni, viene estradato dagli Stati Uniti dopo l’arresto avvenuto in Irlanda nel luglio 2023. Secondo il Dipartimento di Giustizia, Lytvynenko gestiva dati rubati da vittime del gruppo Conti e inviava note di riscatto a partire dal 2020 fino a giugno 2022. I documenti giudiziari lo accusano di cospirazione per frode via cavo e frode informatica, reati che comportano pene fino a 25 anni complessivi di reclusione. Conti, nato nel 2020 come successore del ransomware Ryuk, ha dominato la scena del cybercrime globale, diventando un vero e proprio sindacato criminale digitale. Il gruppo controllava il malware TrickBot e il backdoor BazarBackdoor, strumenti usati per infiltrarsi in reti di aziende e istituzioni. Nel tempo, Conti si è frammentato in cellule minori come BlackCat, Black Basta, ZEON, Hello Kitty, Hive, AvosLocker, Quantum, BlackByte, Karakurt e Bazarcall, mantenendo però le stesse tattiche di doppia estorsione e pubblicazione di dati sensibili. Le autorità stimano che Conti abbia colpito oltre 1000 vittime nel mondo, incassando più di 137,55 milioni di euro in riscatti fino al gennaio 2022. Il Federal Bureau of Investigation (FBI) lo considera uno dei gruppi più aggressivi mai esistiti, in grado di colpire infrastrutture critiche, ospedali e amministrazioni pubbliche. Lytvynenko avrebbe preso parte diretta alla distribuzione di ransomware e alla gestione dei dati trafugati, estraendo oltre 458.715 euro in criptovaluta da vittime situate nel Middle District of Tennessee, dove i criminali hanno anche pubblicato informazioni sensibili di una terza vittima come forma di pressione. L’indagine evidenzia una rete complessa di cooperazione tra Irlanda e Stati Uniti. La polizia irlandese ha agito su mandato americano, trattenendo Lytvynenko fino alla conclusione dei procedimenti di estradizione. Il suo arresto rappresenta un passo importante nella dissoluzione delle cellule Conti, che continuano a operare sotto nuove sigle ma con identiche modalità di attacco.
Rivelata l’identità del leader di TrickBot e Conti
Parallelamente, le autorità tedesche rivelano l’identità di Vitaly Nikolaevich Kovalev, 36 anni, conosciuto con l’alias Stern, considerato il leader di TrickBot e Conti. Kovalev è ritenuto responsabile di campagne ransomware globali e della gestione di reti di estorsione coordinate da Mosca. La sua esposizione pubblica, avvenuta a maggio 2025, ha intensificato la pressione sulle infrastrutture cyber criminali russe, portando a sanzioni mirate da parte di Stati Uniti e Regno Unito. Già nel 2023, Washington e Londra avevano imposto sanzioni a nove cittadini russi legati a Conti e TrickBot, seguite da ulteriori misure nel febbraio 2023 contro altri sette membri. Queste azioni, coordinate a livello transatlantico, mirano a disarticolare le reti finanziarie che sostengono il ransomware-as-a-service. I leak interni noti come ContiLeaks e TrickLeaks, contenenti conversazioni e dati operativi, hanno ulteriormente compromesso la segretezza del gruppo e spinto molte cellule a operare sotto nuovi nomi.
Colpevolezza per la vendita di exploit a broker russo
Un secondo caso scuote la sicurezza nazionale statunitense. Peter Williams, cittadino australiano ed ex general manager di L3Harris Trenchant, ammette la propria colpevolezza in un tribunale distrettuale USA per aver rubato e venduto componenti exploit sensibili a un broker russo tra il 2022 e il 2025. Williams avrebbe sottratto otto moduli exploit riservati, sviluppati per l’uso esclusivo del governo statunitense e degli alleati Five Eyes, per poi cederli in cambio di 1,19 milioni di euro in criptovaluta. Le indagini dell’FBI rivelano che i componenti rubati, valutati complessivamente 32,1 milioni di euro, includevano strumenti di cyber offensiva e difensiva progettati da Trenchant per la ricerca e lo sviluppo di vulnerabilità software. Williams ha firmato contratti formali di vendita e supporto continuativo con un broker che, secondo i rapporti, collaborava con clienti governativi russi. Il broker, non nominato nei documenti giudiziari, coincide probabilmente con Operation Zero, una piattaforma russa nota per l’acquisto di zero-day ad alto valore, spesso impiegati in campagne di spionaggio e attacchi a infrastrutture critiche. Questa rete offre ricompense milionarie per exploit zero-click RCE su browser, sistemi operativi e app mobili, alimentando un mercato parallelo di vulnerabilità non divulgate. Trenchant, divisione specializzata di L3Harris Technologies, sviluppa strumenti di cyber warfare e collabora con agenzie governative statunitensi. L’azienda ha avviato un’indagine interna per determinare se gli exploit rubati da Williams abbiano contribuito agli attacchi zero-day recentemente osservati contro Google Chrome e dispositivi iOS. Nel solo 2025 sono stati registrati sei attacchi zero-day, con dieci casi nel 2024, otto nel 2023 e nove nel 2022. Sebbene il collegamento diretto non sia confermato, l’FBI ritiene che le fughe di dati abbiano compromesso la sicurezza di progetti governativi riservati e avvantaggiato attori statali russi. Williams, ora in attesa di sentenza, rischia fino a 10 anni di reclusione e multe fino a 229.357 euro o pari al doppio del profitto ottenuto. Il suo caso mette in luce la vulnerabilità delle catene di fiducia interne nelle aziende che operano nel settore della sicurezza nazionale e la necessità di rigorosi controlli sugli accessi privilegiati.
Implicazioni globali e risposta internazionale
I due casi dimostrano come il cybercrime moderno operi su una scala globale e ibrida, combinando ransomware, furto di segreti industriali e commercio di exploit. Gli Stati Uniti e i partner alleati intensificano la cooperazione in materia di estradizioni, sanzioni e intelligence condivisa. L’arresto di Lytvynenko e la condanna di Williams rappresentano precedenti giudiziari cruciali per la deterrenza di reati digitali transnazionali. Il mercato nero degli exploit, alimentato da piattaforme come Operation Zero, continua tuttavia a espandersi, rendendo indispensabile un controllo coordinato a livello internazionale. Allo stesso tempo, la dispersione dei gruppi ransomware nati dall’eredità di Conti e TrickBot testimonia la resilienza delle reti criminali e la loro capacità di adattarsi a nuove condizioni operative. La strategia statunitense combina azioni legali, sanzioni economiche e diplomazia cyber, rafforzando la collaborazione con Paesi europei e alleati del Pacifico. Tuttavia, gli esperti avvertono che la battaglia contro il cybercrime resta aperta: la fusione tra spionaggio, profitto e ideologia geopolitica rende questi gruppi sempre più difficili da smantellare completamente.
