Le autorità statunitensi e australiane hanno colpito due fronti distinti del crimine informatico, rivelando nuovi arresti per attacchi ransomware interni e un aggiornamento dell’operazione Ironside basata sull’app infiltrata AN0M. Negli Stati Uniti, l’FBI accusa tre professionisti del settore cybersecurity di aver partecipato ad estorsioni multimilionarie legate al ransomware BlackCat (ALPHV). In Australia, la polizia federale annuncia 55 arresti e sequestri per 15,58 milioni di euro, proseguendo la campagna globale contro reti criminali che utilizzavano comunicazioni criptate. Questi eventi evidenziano due tendenze convergenti: il rischio insider nel settore sicurezza e l’efficacia crescente delle operazioni di infiltrazione digitale coordinate a livello internazionale.
Cosa leggere
Indagati per estorsioni ransomware
Il Dipartimento di Giustizia degli Stati Uniti ha formalmente incriminato Ryan Clifford Goldberg, Kevin Tyler Martin e un terzo complice non identificato per cospirazione ed estorsione informatica. Goldberg, ex incident response manager presso Sygnia Cybersecurity Services, e Martin, negoziatore ransomware presso DigitalMint, avrebbero sfruttato le proprie competenze e ruoli aziendali per orchestrare accessi non autorizzati e distribuzione del ransomware BlackCat tra maggio e novembre 2023. L’indagine, condotta dal Federal Bureau of Investigation (FBI), rivela una dinamica di insider threat: figure professionali fidate che, in possesso di informazioni privilegiate, convertivano le conoscenze difensive in strumenti offensivi. BlackCat, noto gruppo ransomware-as-a-service (RaaS), è collegato a campagne di estorsione che hanno colpito centinaia di organizzazioni nel mondo. Gli inquirenti collegano gli imputati a cinque aziende statunitensi — una produttrice di dispositivi medici a Tampa, una farmaceutica nel Maryland, uno studio medico e un’impresa ingegneristica in California e un produttore di droni in Virginia — con richieste di riscatto superiori ai 9 milioni di euro e un pagamento confermato di 1,17 milioni di euro in criptovaluta.
Dettagli sugli attacchi e sulle confessioni
Secondo l’atto d’accusa, gli imputati avrebbero rubato dati sensibili e installato varianti di ALPHV/BlackCat, ricattando le aziende minacciando la pubblicazione dei dati. In uno dei casi, la vittima ha accettato il pagamento parziale in cripto, spartito poi tra i membri del gruppo. Ryan Goldberg avrebbe ammesso di essere stato reclutato dal co-cospiratore per motivi economici legati a debiti personali, mentre Martin si dichiara non colpevole. Le accuse includono danneggiamento intenzionale di sistemi protetti e interferenza con il commercio interstatale, con pene potenziali fino a 50 anni di reclusione federale.
Risposte aziendali e cooperazione con l’FBI
DigitalMint e Sygnia si sono dichiarate parte lesa e hanno collaborato con le autorità. Jonathan Solomon, CEO di DigitalMint, ha precisato che le attività criminali non hanno coinvolto le infrastrutture aziendali né accessi ai dati dei clienti. Gli ex dipendenti sospettati non erano più impiegati da oltre quattro mesi al momento della scoperta. Sygnia, società con sede in Israele specializzata in incident response, ha confermato il licenziamento immediato di Goldberg e la piena cooperazione con l’FBI. Entrambe le aziende hanno rafforzato i controlli interni e i processi di verifica sull’accesso ai sistemi sensibili.
Operazione Ironside e app AN0M
Parallelamente, l’Australian Federal Police (AFP) ha annunciato una nuova fase dell’operazione Ironside, condotta in collaborazione con l’FBI e l’Europol, che ha portato all’arresto di 55 individui coinvolti in traffici di droga, riciclaggio e crimini organizzati. Cuore dell’operazione è AN0M, un’app di messaggistica creata ad arte come piattaforma backdoored per intercettare comunicazioni criminali. L’app, lanciata nel 2018 dopo la chiusura della canadese Phantom Secure, era installata su smartphone modificati e venduti come “sicuri” a gruppi mafiosi e biker gang. La backdoor integrata in AN0M ha consentito per anni alle forze dell’ordine di monitorare milioni di messaggi cifrati in tempo reale, raccogliendo prove che hanno portato a centinaia di arresti in oltre 18 paesi. Nel 2021, la AFP ha svelato pubblicamente l’operazione, che rimane una delle più vaste sting operation della storia digitale.
Sviluppi giudiziari e nuovi raid
Nel 2025, la Corte Suprema australiana ha confermato la legittimità di AN0M come sistema chiuso, respingendo le accuse di intercettazioni illegali. La decisione sancisce che i messaggi non attraversavano reti di telecomunicazione pubbliche e che l’app operava in un ambiente controllato di law enforcement. Questo verdetto, privo di possibilità d’appello, consolida la validità legale di future operazioni undercover basate su piattaforme digitali simulate. La terza fase di Ironside ha visto raid su 23 proprietà in South Australia, con il sequestro di contanti, veicoli di lusso, armi e due motociclette Harley-Davidson, simbolo dei legami con bande motociclistiche criminali. La AFP ha dichiarato che, a causa del volume elevato di prove raccolte, l’app AN0M è stata disattivata, ma il modello operativo proseguirà attraverso nuove piattaforme di monitoraggio digitale.
Implicazioni per la cybersecurity
Gli eventi congiunti — insider cybercrime negli Stati Uniti e sorveglianza infiltrata in Australia — mettono in luce due tendenze critiche della sicurezza moderna. Da un lato, emerge la vulnerabilità delle aziende di cybersecurity stesse, dove figure interne possono convertire competenze difensive in strumenti d’attacco. Dall’altro, operazioni come Ironside mostrano che la trasparenza delle reti criminali è possibile solo grazie a intelligence digitale avanzata. Gli analisti prevedono un inasprimento dei controlli su ruoli sensibili all’interno di società di sicurezza informatica e fintech, nonché un aumento della cooperazione giudiziaria internazionale. Le autorità, forti del successo di AN0M, valutano l’introduzione di modelli di “crittografia accountable”, che consentano indagini rapide pur garantendo la privacy legittima. La convergenza tra insider threat e sorveglianza digitale segna una nuova fase nel contrasto globale al cybercrime, dove fiducia e trasparenza diventano elementi di sicurezza strategica.
