Le sanzioni Usa contro l’hosting bulletproof russo Media Land, l’emergere del ransomware ShinySp1d3r e la maxi-operazione Europol sul tracciamento di fondi crypto mostrano un ecosistema digitale attraversato da rischi strutturali. Nel primo periodo, la notizia principale riguarda le sanzioni del Dipartimento del Tesoro Usa contro provider che supportano gruppi come LockBit, BlackSuit e Play, mentre parallelamente ricercatori individuano vulnerabilità attivamente sfruttate in software diffusi come 7-Zip e WhatsApp, un breach in Francia espone 1,2 milioni di utenti Pajemploi, e una nuova ondata ransomware guidata da ShinyHunters introduce un encryptor proprietario progettato per colpire Windows con piani per Linux e ESXi. Europol, infine, coordina una maxi-operazione che traccia 43 milioni di euro in crypto riconducibili a pirateria digitale. Tutti questi elementi evidenziano la necessità di cooperazione internazionale, risposta rapida alle vulnerabilità e rafforzamento dei sistemi di sicurezza pubblici e privati.
Cosa leggere
Sanzioni Usa e ruolo dell’hosting bulletproof russo
Le sanzioni del Dipartimento del Tesoro Usa colpiscono l’infrastruttura di Media Land, società russa che fornisce servizi di hosting bulletproof a gruppi ransomware e mercati criminali. Le sue affiliate includono Media Land Technology, Data Center Kirishi e ML Cloud, strutture che ignorano sistematicamente le richieste di takedown provenienti da vittime e autorità. Il sistema ospita infrastrutture di comando e controllo e supporta campagne ransomware, attacchi DDoS e servizi di anonymization. Tre figure di rilievo vengono designate: Aleksandr Volosovik, noto come Yalishanda, che promuove i servizi su forum criminali; Kirill Zatolokin, responsabile dei pagamenti destinati alla clientela cybercriminale; Yulia Pankova, incaricata degli aspetti legali e finanziari. Gli Stati Uniti sostengono che Media Land fornisce supporto diretto a gruppi come LockBit, BlackSuit e Play, contribuendo ad attacchi contro infrastrutture critiche e aziende statunitensi. Il coordinamento con Regno Unito e Australia amplia il perimetro delle sanzioni. Londra associa Volosovik a gruppi come Evil Corp, Black Basta e LockBit, mentre Canberra congela asset e annuncia misure parallele contro Aeza Group, provider russo che utilizza front company come Hypercore Ltd per eludere controlli. Entità serbe e uzbeke risultano coinvolte nel supporto tecnico ad Aeza. Queste azioni si inseriscono in una strategia più ampia che colpisce infrastrutture considerate fondamentali per il cybercrime, come ZServers/XHost, già oggetto di sequestro di 127 server da parte della polizia olandese. Le transazioni con provider designati espongono intermediari e aziende a rischi di sanzioni secondarie, consolidando un regime internazionale volto a ridurre la resilienza dei gruppi criminali.
Linee guida internazionali contro i provider malevoli
Le agenzie Five Eyes pubblicano una guida operativa per aiutare i difensori a identificare e mitigare i rischi legati a hosting bulletproof. Le indicazioni includono l’uso di risorse maligne ad alta confidenza, intelligence feed sia open-source sia commerciali, analisi del traffico per definire baseline affidabili e identificazione di anomalie senza interferire con servizi legittimi. I difensori valutano gli impatti delle mitigazioni, implementano filtri granulari ai bordi della rete, mantengono audit log completi e aggiornano il mapping ASN-IP per comprendere il comportamento delle infrastrutture. I provider devono inoltre comunicare ai clienti la presenza in liste maligne, sviluppare filtri opzionali basati sul rischio e adottare verifiche di identità con procedure know your customer. La guida raccomanda anche l’uso di routing security per proteggere le reti da tentativi di BGP hijacking.
Nascita del ransomware ShinySp1d3r
Parallelamente, il gruppo ShinyHunters introduce il nuovo ransomware-as-a-service ShinySp1d3r, presentato come una piattaforma proprietaria per abbandonare encryptor di terze parti come ALPHV e Qilin. L’infrastruttura ransomware nasce grazie alla collaborazione tra Scattered Spider, Lapsus$ e gruppi collegati, riuniti sotto il nome Scattered Lapsus$ Hunters. Gli attaccanti colpiscono organizzazioni come Salesforce e Jaguar Land Rover, mostrando una forte escalation di capacità. L’encryptor utilizza ChaCha20 per la cifratura dei file e RSA-2048 per la protezione delle chiavi, integrando un header strutturato che inizia con SPDR e si chiude con ENDS. Ogni file cifrato presenta metadati unici, generati tramite una formula proprietaria che assegna estensioni diverse per ogni vittima. La nota di riscatto R3ADME_1Vks5fYe.txt indica un canale di negoziazione via Tox e un leak site Tor. Le vittime hanno tre giorni per contattare il gruppo prima della pubblicazione dei dati. La versione lightning, sviluppata in assembly, ottimizza la velocità di cifratura e include funzionalità anti-forensic come l’hooking di EtwEventWrite, la sovrascrittura di buffer di memoria e l’eliminazione delle Shadow Volume Copies. Il malware termina processi con handle aperti, utilizza il Restart Manager per forzare la chiusura delle applicazioni, si propaga via SCM, WMI e script GPO, sfrutta condivisioni di rete e applica tecniche per saturare lo spazio disco con file temporanei destinati al wiping. I target sanitari e le infrastrutture in Russia e nei Paesi CIS vengono esclusi per motivi strategici.
Breach in Francia: il caso Pajemploi
Il servizio francese Pajemploi subisce un breach che espone i dati di 1,2 milioni di persone il 14 novembre 2025. La compromissione riguarda nomi completi, luoghi di nascita, indirizzi postali e numeri di social security, oltre a informazioni bancarie parziali come il nome degli istituti e identificativi Pajemploi. Non risultano compromessi Iban, e-mail, numeri di telefono o password. I servizi restano operativi, consentendo ai dipendenti privati di continuare dichiarazioni e pagamenti. L’agenzia Anssi rileva un leak sul dark web e avvisa Urssaf, che notifica immediatamente gli utenti colpiti e consiglia attenzione verso possibili tentativi di phishing e furto d’identità. Nessun gruppo ransomware rivendica l’attacco. Il contesto francese vive un momento critico dopo l’esposizione dei 43 milioni di profili di France Travail e l’incidente del 13 novembre che ha coinvolto Eurofiber France.
Operazione Europol sul tracciamento dei fondi crypto
Europol coordina una vasta operazione contro la pirateria digitale, tracciando 43 milioni di euro in crypto collegati a piattaforme illegali e servizi finanziati con asset digitali. Le autorità europee e i partner internazionali disabilitano infrastrutture criminali, sequestrano wallet e interrompono flussi economici che sostenevano la distribuzione di contenuti pirata. L’iniziativa evidenzia l’efficacia delle tecniche di analisi delle transazioni e conferma la rilevanza sempre maggiore del tracciamento crypto nelle indagini transnazionali.
