Non è stata una buona settimana per essere un broker di dati rubati. Con un tempismo che sa di coordinamento (o di un’insolita coincidenza), le autorità di Russia e Stati Uniti hanno smantellato due pilastri del mercato nero digitale. A Taganrog, la polizia russa ha arrestato l’amministratore di LeakBase, il forum che per quattro anni è stato il supermarket di 147.000 hacker. Contemporaneamente, a Austin (Texas), il cittadino armeno Hambardzum Minasyan faceva il suo ingresso in tribunale dopo essere stato estradato per aver gestito l’infrastruttura di RedLine Infostealer. Dal furto di password al riciclaggio di criptovalute: ecco come la giustizia sta spegnendo i server del crimine.
Cosa leggere
Russia arresta amministratore LeakBase nella regione di Rostov
Le autorità russe arrestano un residente di Taganrog nella regione di Rostov, identificato come presunto amministratore di LeakBase. L’operazione viene condotta dal Ministero degli Interni russo attraverso il Bureau of Special Technical Measures, unità specializzata nel contrasto ai crimini informatici. L’uomo viene accusato ai sensi dell’articolo 272.1 del codice penale russo, che riguarda l’accesso illegale a sistemi informatici e la gestione di piattaforme per la diffusione di dati rubati. Secondo le dichiarazioni ufficiali, confermate dalla portavoce Irina Volk, il sospetto avrebbe svolto un ruolo centrale nella creazione, gestione e monetizzazione del forum. Le autorità lo collocano immediatamente in custodia cautelare, segnale della gravità attribuita al caso. L’arresto rappresenta una delle rare azioni dirette delle forze russe contro piattaforme di cybercrime operanti sul proprio territorio, spesso considerate difficili da colpire per ragioni geopolitiche e giurisdizionali.
LeakBase cresce come marketplace di dati rubati dal 2021
LeakBase emerge nel 2021 come uno dei principali hub per la compravendita di dati compromessi. Nel giro di quattro anni raggiunge oltre 147.000 utenti registrati, diventando un punto di riferimento per attori criminali interessati a database, credenziali, exploit e strumenti di hacking. Il forum adotta un modello strutturato che replica dinamiche tipiche delle piattaforme legittime, con sistemi di reputazione, crediti interni e moderazione delle transazioni. La piattaforma non si limita alla vendita di dati, ma offre un ecosistema completo. Include sezioni dedicate al social engineering, alla crittografia, alla programmazione e alla condivisione di guide operative. Questo approccio trasforma LeakBase in una vera infrastruttura di supporto al cybercrime, facilitando l’ingresso anche di attori meno esperti e aumentando la diffusione delle competenze offensive nel panorama criminale digitale.
Operation Leak coinvolge FBI ed Europol nella chiusura del forum
Nel marzo 2026, le autorità internazionali lanciano Operation Leak, un’azione coordinata che coinvolge Stati Uniti, Europol e 14 paesi. L’operazione mira a smantellare l’infrastruttura di LeakBase e a identificare i suoi utenti più attivi. Gli investigatori sequestrano il dominio leakbase.la, sostituendo la homepage con un banner ufficiale che segnala l’intervento delle forze dell’ordine. Durante l’operazione vengono effettuati arresti mirati e perquisizioni in diverse giurisdizioni. Le autorità ottengono accesso al database completo del forum, inclusi messaggi privati, indirizzi IP e cronologia delle attività. Questo patrimonio informativo diventa cruciale per indagini successive, permettendo di mappare reti criminali e identificare connessioni tra diversi gruppi. L’impatto operativo è significativo, poiché la perdita di fiducia nelle piattaforme centralizzate riduce temporaneamente la capacità organizzativa del cybercrime.
Usa estradano Hambardzum Minasyan per gestione RedLine Infostealer
| Capo d’Accusa | Rischio Pena | Ruolo in RedLine |
|---|---|---|
| Frode con dispositivi di accesso | 10-15 anni | Gestione dei server C2 (Comando e Controllo). |
| CFAA (Hacking federale) | 5-10 anni | Registrazione domini e VPS per la diffusione. |
| Cospirazione per riciclaggio | Fino a 20 anni | Gestione dei conti crypto derivanti dalle vendite. |
| TOTALE MASSIMO | 30 Anni | Operatore Infrastrutturale |
Hambardzum Minasyan non era l’hacker che scriveva il codice, ma il vero e proprio “manager” che faceva girare l’azienda del malware curandone l’infrastruttura e i profitti finanziari.
Parallelamente, gli Stati Uniti ottengono dall’Armenia l’estradizione di Hambardzum Minasyan, accusato di aver gestito l’infrastruttura del malware RedLine Infostealer. L’uomo compare davanti al tribunale federale di Austin, dove i procuratori lo incriminano per frode con dispositivi di accesso, violazione del Computer Fraud and Abuse Act e cospirazione per riciclaggio di denaro. Le accuse delineano un quadro operativo complesso. Minasyan avrebbe coordinato server VPS, domini web e portafogli di criptovaluta utilizzati per distribuire e monetizzare il malware. Il rischio di condanna raggiunge i 30 anni di reclusione, riflettendo la crescente severità delle pene per reati informatici negli Stati Uniti.
RedLine Infostealer opera come malware-as-a-service globale
RedLine Infostealer si afferma come uno degli strumenti più diffusi per il furto di dati sensibili. Il malware è progettato per estrarre credenziali, cookie di sessione, informazioni autofill, wallet di criptovalute e altri dati critici da sistemi compromessi. La sua diffusione è facilitata da un modello malware-as-a-service, che consente anche a utenti con competenze limitate di utilizzare il tool. Il sistema prevede pannelli di controllo accessibili via web, server di comando e controllo e supporto tecnico per gli affiliati. Questo approccio industrializza il cybercrime, riducendo le barriere di ingresso e aumentando il volume degli attacchi su scala globale.
Infrastruttura RedLine già colpita dall’operazione Magnus nel 2024
L’arresto di Minasyan si inserisce in una strategia più ampia avviata negli anni precedenti. Nel 2024, la polizia olandese conduce l’operazione Magnus, sequestrando parte dell’infrastruttura di RedLine Infostealer. L’intervento porta alla chiusura di alcuni server e alla compromissione temporanea del servizio, ma non riesce a eliminarlo completamente. Le autorità statunitensi continuano le indagini, arrivando a identificare i principali operatori del malware e offrendo ricompense per informazioni sul creatore principale. L’estradizione rappresenta quindi un passo avanti nel colpire i livelli più alti della filiera criminale.
Cybercrime globale evolve verso modelli industrializzati e distribuiti
Le operazioni contro LeakBase e RedLine Infostealer evidenziano una trasformazione strutturale del cybercrime. Le piattaforme di scambio dati e i servizi malware-as-a-service rappresentano due facce della stessa economia digitale illegale. I dati rubati alimentano nuove campagne di attacco mentre i proventi finanziano lo sviluppo di strumenti sempre più sofisticati. Le forze dell’ordine rispondono con operazioni coordinate che mirano a interrompere questo ciclo, colpendo contemporaneamente infrastrutture, operatori e utenti. Tuttavia, la natura distribuita e resiliente di queste reti rende difficile ottenere risultati definitivi.
Cooperazione internazionale diventa centrale nel contrasto al cybercrime
Il doppio intervento di marzo 2026 sottolinea l’importanza della cooperazione internazionale. L’azione congiunta tra Russia, Stati Uniti ed enti europei dimostra che il cybercrime rappresenta una minaccia condivisa che richiede risposte coordinate. Le indagini condivise, lo scambio di intelligence e le estradizioni diventano strumenti fondamentali. L’accesso ai database sequestrati consente di estendere le indagini e prevenire nuovi attacchi, mentre l’arresto di figure chiave rafforza l’effetto deterrente.
Impatto operativo sul mercato dei dati rubati e malware
La chiusura di LeakBase e l’arresto legato a RedLine Infostealer producono effetti immediati sull’ecosistema criminale. La perdita di una piattaforma con oltre 147.000 utenti riduce temporaneamente la disponibilità di marketplace affidabili. Questo costringe gli attori a migrare verso alternative meno consolidate, aumentando i rischi operativi. Allo stesso tempo, l’indebolimento dell’infrastruttura RedLine limita la capacità di raccolta dati su larga scala. Tuttavia, il mercato del cybercrime resta altamente adattivo e pronto a rigenerarsi rapidamente.
Prospettive future nella lotta al cybercrime internazionale
Le operazioni rappresentano un punto di svolta ma non una conclusione. Il cybercrime continua a evolversi sfruttando infrastrutture decentralizzate, criptovalute e tecniche avanzate di anonimizzazione. Le autorità dovranno rafforzare la cooperazione internazionale e investire in capacità tecniche avanzate, incluse analisi dei dati e strumenti basati su intelligenza artificiale. Le azioni contro LeakBase e RedLine Infostealer dimostrano che è possibile colpire le infrastrutture criminali, ma evidenziano anche la necessità di un impegno costante e coordinato.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
