Nel cybercrime, spesso la parte più difficile non è entrare in un sistema, ma restarci senza farsi notare. Ilya Angelov, alias “milan”, l’aveva capito fin troppo bene. Come leader del gruppo TA551 (noto anche come Shathak o Gold Cabin), non si occupava di criptare i file, ma di “aprire le porte”. Gestendo una botnet capace di generare 3.000 nuove infezioni al giorno, Angelov ha creato un’infrastruttura logistica che ha servito i peggiori gruppi ransomware del mondo, da Conti a BitPaymer, causando danni per oltre 15 milioni di euro. Oggi, dopo una clamorosa consegna volontaria alle autorità americane, la sua corsa si è fermata con una condanna a due anni di carcere. La botnet che ha messo in ginocchio 72 aziende USA ha finalmente un colpevole dietro le sbarre.
Cosa leggere
Angelov guida il gruppo TA551 e costruisce una botnet globale
Angelov è identificato come uno dei due leader principali del gruppo TA551, conosciuto anche con diversi nomi nel panorama della sicurezza tra cui Mario Kart, Shathak e GOLD CABIN. Il gruppo opera tra il 2017 e il 2021 sviluppando una rete di computer infetti utilizzata come infrastruttura per attacchi ransomware. La strategia è chiara: non eseguire direttamente tutte le estorsioni, ma costruire una piattaforma di accesso iniziale e venderla ad altri gruppi criminali. Questo modello consente di scalare rapidamente le operazioni e di generare profitti continui senza esporsi direttamente in ogni fase dell’attacco. La botnet cresce fino a raggiungere circa 3.000 nuove infezioni al giorno, diventando una risorsa preziosa nel mercato underground. Angelov coordina lo sviluppo del malware, il reclutamento di specialisti e la gestione delle campagne di distribuzione.
Campagne spam massive diffondono malware su scala globale
Il principale vettore di infezione utilizzato da TA551 è rappresentato da campagne email su larga scala. Il gruppo invia fino a 700.000 messaggi al giorno, sfruttando tecniche di phishing e allegati malevoli per compromettere sistemi aziendali e domestici. Gli attacchi utilizzano archivi protetti da password contenenti documenti Word con macro. Una volta aperti, questi file attivano downloader come MOUSEISLAND e PHOTOLOADER, che installano backdoor persistenti. Queste componenti permettono agli attaccanti di mantenere accesso ai sistemi e di preparare il terreno per ulteriori payload. L’uso di archivi protetti e macro consente di aggirare diversi sistemi di sicurezza, mentre la personalizzazione del malware permette di adattarsi rapidamente alle difese implementate dalle aziende.
La botnet viene monetizzata vendendo accessi a gruppi ransomware
Uno degli elementi centrali dell’operazione TA551 è la monetizzazione tramite vendita di accessi. Angelov e i suoi collaboratori vendono singoli endpoint compromessi ad altri gruppi criminali, che li utilizzano per lanciare attacchi ransomware. Tra i malware distribuiti attraverso questa infrastruttura figurano varianti note come BitPaymer, Conti, ProLock, Egregor e DoppelPaymer. Questo modello “access-as-a-service” rappresenta una delle evoluzioni più significative del cybercrime moderno, dove le competenze vengono suddivise tra diversi attori specializzati. Angelov non si limita alla gestione tecnica della botnet, ma coordina anche le relazioni con altri gruppi, creando un ecosistema criminale interconnesso che amplifica l’impatto degli attacchi.
BitPaymer genera estorsioni per oltre 12,84 milioni di euro
Il Department of Justice collega direttamente la botnet TA551 al ransomware BitPaymer, responsabile di estorsioni per oltre 12,84 milioni di euro tra agosto 2018 e dicembre 2019. Durante questo periodo, almeno 72 aziende statunitensi vengono colpite. Le vittime subiscono blocchi completi dei sistemi e sono costrette a pagare riscatti per recuperare i dati. A questi danni si aggiungono costi indiretti legati a downtime, ripristino e perdita di informazioni sensibili. Il gruppo IcedID paga inoltre oltre 917.000 euro per accedere alla botnet e distribuire ulteriori payload. Queste collaborazioni dimostrano come TA551 funzioni come infrastruttura condivisa tra più attori criminali.
Connessioni con TrickBot e altri gruppi amplificano l’impatto
Le indagini collegano TA551 a una rete più ampia di gruppi cybercriminali. Analisi di sicurezza evidenziano interazioni con malware come TrickBot e Qbot, utilizzati per preparare sistemi già compromessi all’installazione di ransomware più avanzati. Queste connessioni creano una catena di attacco multi-stadio: phishing iniziale, infezione tramite botnet, vendita dell’accesso e distribuzione del ransomware finale. Questo modello riduce i tempi operativi e aumenta le probabilità di successo, rendendo gli attacchi più difficili da contrastare. L’ecosistema risultante è altamente modulare, con ogni gruppo che contribuisce a una fase specifica dell’operazione.
Angelov si consegna alle autorità e ammette le responsabilità
Un elemento insolito del caso è la decisione di Angelov di presentarsi volontariamente negli Stati Uniti. Questa scelta avviene dopo l’invasione russa dell’Ucraina nel 2022 e l’arresto in Svizzera del suo associato Vyacheslav Penchukov. Davanti al tribunale, Angelov si dichiara colpevole e accetta la condanna. Il procuratore Jerome F. Gorgon Jr. sottolinea che i cybercriminali stranieri continuano a prendere di mira aziende americane con tecniche sempre più sofisticate, ma che le autorità sono in grado di identificarli e perseguirli. La cooperazione dell’imputato viene considerata un fattore attenuante, ma non riduce la gravità delle accuse legate a un’operazione che ha causato danni milionari.
FBI ricostruisce la rete e identifica le vittime
L’FBI gioca un ruolo centrale nelle indagini, identificando oltre 70 aziende colpite e tracciando i flussi finanziari legati alle estorsioni. Le autorità ricostruiscono la struttura del gruppo, evidenziando una gerarchia composta da sviluppatori, spammer e operatori. Le indagini dimostrano come la botnet TA551 abbia continuato a operare anche dopo il takedown di altre infrastrutture malware, evidenziando la resilienza delle reti criminali e la loro capacità di adattarsi. La cooperazione internazionale risulta fondamentale per raccogliere prove e collegare attività distribuite su più paesi.
Impatto economico e operativo sulle aziende colpite
Le aziende vittime degli attacchi subiscono conseguenze rilevanti. Oltre al pagamento dei riscatti, affrontano interruzioni operative, perdita di dati e costi di ripristino. In molti casi, il downtime prolungato influisce direttamente sulla continuità del business. La botnet TA551 funge da moltiplicatore di rischio, permettendo a diversi gruppi ransomware di operare simultaneamente su sistemi già compromessi. Questo aumenta la frequenza e la gravità degli attacchi, rendendo difficile per le aziende difendersi con strumenti tradizionali.
La condanna rafforza la deterrenza contro il cybercrime internazionale
La sentenza contro Angelov rappresenta un segnale importante nel contrasto al cybercrime. Dimostra che anche operatori basati all’estero possono essere identificati e perseguiti, soprattutto quando colpiscono infrastrutture e aziende statunitensi. Le autorità sottolineano l’importanza di rafforzare le difese contro phishing e malware, principali vettori di ingresso utilizzati da botnet come TA551. Filtri email avanzati, formazione del personale e monitoraggio continuo risultano essenziali per ridurre il rischio. Il caso evidenzia anche l’evoluzione del cybercrime verso modelli industrializzati, in cui botnet e accessi iniziali vengono venduti come servizi. Contrastare queste minacce richiede quindi un approccio coordinato tra aziende, forze dell’ordine e comunità internazionale.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
