Non è il killer, è quello che lascia la finestra aperta e disegna la mappa della casa per i ladri. Aleksei Olegovich Volkov, cittadino russo di 30 anni, è stato condannato oggi a 81 mesi di carcere (quasi 7 anni) da un tribunale federale statunitense. Il suo crimine? Essere uno dei più prolifici “Initial Access Broker” del mondo, il primo anello della catena di montaggio del ransomware Yanluowang. Volkov non colpiva direttamente per chiedere riscatti: lui violava i sistemi, rubava le credenziali e poi metteva all’asta l’accesso alle reti aziendali nel Dark Web. Un business spietato che ha causato danni per oltre 8,4 milioni di euro a otto grandi aziende americane, portando alla luce la fragilità della supply chain digitale. Dalla cattura in Italia nel 2024 alla sentenza di oggi: la giustizia ha finalmente presentato il conto al “faccendiere” dei ransomware.
Cosa leggere
Volkov opera come initial access broker nel ransomware Yanluowang
Tra il 2021 e il 2022, Volkov ha svolto il ruolo di initial access broker, una figura chiave nell’ecosistema ransomware. Il suo compito consisteva nell’ottenere accessi non autorizzati a reti aziendali e rivenderli a gruppi criminali specializzati nella fase successiva dell’attacco. Utilizzando credenziali compromesse e tecniche di intrusione, Volkov ha violato i sistemi di almeno otto aziende statunitensi. Gli accessi venivano poi ceduti agli affiliati del ransomware Yanluowang, che sfruttavano queste porte aperte per infiltrarsi nelle infrastrutture, esfiltrare dati e distribuire malware di cifratura. Questo modello operativo separa le competenze tra diversi attori, rendendo gli attacchi più scalabili e difficili da tracciare.
I danni economici superano 8,41 milioni di euro tra riscatti e perdite
Le attività di Volkov hanno generato danni significativi per le vittime. Le perdite reali superano gli 8,41 milioni di euro, mentre quelle potenziali superano i 22 milioni di euro considerando richieste di riscatto non pagate e impatti operativi. I riscatti richiesti variavano da circa 275.000 euro fino a oltre 13,7 milioni di euro, a seconda della dimensione e della criticità dell’azienda colpita. In almeno un caso, Volkov ha incassato fino a 1,38 milioni di euro come parte della sua attività di intermediazione. Gli attacchi seguivano un pattern consolidato: accesso iniziale, movimento laterale nella rete, esfiltrazione dei dati e successiva cifratura dei sistemi. Le vittime venivano quindi minacciate con la pubblicazione dei dati su siti di leak se non avessero pagato il riscatto.
Arresto in Italia ed estradizione segnano cooperazione internazionale
L’arresto di Volkov è avvenuto in Italia il 18 gennaio 2024, dimostrando l’efficacia della cooperazione internazionale nella lotta al cybercrime. Dopo l’estradizione negli Stati Uniti, l’imputato ha dichiarato colpevolezza nel novembre 2025, accelerando il processo giudiziario. Il tribunale statunitense ha emesso la sentenza il 24 marzo 2026, condannando Volkov per una serie di reati tra cui frode informatica, furto aggravato di identità, traffico di credenziali e riciclaggio di denaro. Nonostante una pena teorica superiore ai 50 anni, la collaborazione con le autorità ha portato a una condanna ridotta. Oltre alla detenzione, Volkov dovrà restituire almeno 8,41 milioni di euro alle vittime e rinunciare agli strumenti utilizzati per le attività criminali.
Il ruolo degli initial access broker nel modello ransomware as a service
Il caso Volkov mette in luce il funzionamento del modello ransomware-as-a-service (RaaS), dove diversi attori collaborano per eseguire attacchi complessi. Gli initial access broker rappresentano il primo anello della catena, fornendo le credenziali e gli accessi necessari per avviare l’intrusione. Questa specializzazione consente ai gruppi ransomware di operare su larga scala senza dover gestire direttamente tutte le fasi dell’attacco. I broker monetizzano l’accesso vendendolo a più affiliati, aumentando l’efficienza del sistema criminale. Le autorità stanno progressivamente spostando l’attenzione su questi intermediari, riconoscendo il loro ruolo strategico. Colpire i broker significa interrompere la catena prima che l’attacco si concretizzi.
Le indagini sfruttano dati digitali e tracciamenti crypto
Le forze dell’ordine hanno ricostruito le attività di Volkov attraverso una combinazione di prove digitali. Tra queste figurano log di chat, dati archiviati su servizi cloud come iCloud, attività sui social media e tracciamenti di transazioni in criptovaluta. Questi elementi hanno permesso di collegare le attività dell’imputato a specifici attacchi e di dimostrare il flusso di denaro derivante dalle operazioni ransomware. L’uso di blockchain analytics si conferma uno strumento sempre più efficace per individuare e perseguire crimini finanziari nel mondo crypto.
La sentenza rafforza la deterrenza contro il cybercrime globale
La condanna di Volkov rappresenta un segnale chiaro da parte delle autorità statunitensi: anche i ruoli indiretti nel cybercrime comportano conseguenze severe. L’attenzione verso i facilitatori indica un’evoluzione nella strategia di contrasto, che mira a smantellare l’intero ecosistema criminale. Gli esperti ritengono che casi come questo possano avere un effetto deterrente significativo, soprattutto tra gli operatori attivi nel dark web. Tuttavia, il modello ransomware continua a evolversi, adattandosi alle nuove misure di sicurezza e alle azioni delle forze dell’ordine. La cooperazione internazionale, come dimostrato dall’arresto in Italia e dalla condanna negli Stati Uniti, resta un elemento fondamentale per affrontare minacce che non conoscono confini geografici. Il caso Volkov evidenzia come la lotta al cybercrime richieda un approccio coordinato e multidisciplinare.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
