cybercrime ryuk odido crypto carcere shinyhunters

Dai ricatti dell’era Ryuk al furto di crypto direttamente dal carcere: le folli storie del cybercrime

🛡️ Executive Summary

  • Un affiliato di Ryuk si dichiara colpevole negli Stati Uniti per attacchi ransomware che hanno colpito centinaia di organizzazioni.
  • Le autorità olandesi individuano indizi sul coinvolgimento di hacker locali nel data breach da 6,2 milioni di clienti Odido.
  • Un riciclatore bulgaro già detenuto viene accusato di aver sottratto criptovalute sequestrate utilizzando servizi di mixing e diversi exchange.

Le più recenti indagini internazionali confermano come il cybercrime continui a evolversi su più fronti, dal ransomware alle campagne di social engineering, fino al riciclaggio di criptovalute. Negli Stati Uniti un affiliato del gruppo Ryuk ha ammesso le proprie responsabilità per una serie di attacchi che hanno colpito aziende e organizzazioni pubbliche americane, mentre nei Paesi Bassi proseguono le indagini sul massiccio data breach subito dall’operatore telefonico Odido, con gli investigatori che ritengono sempre più probabile il coinvolgimento di hacker olandesi. Parallelamente, un nuovo procedimento giudiziario coinvolge Rossen G. Iossifov, già condannato per riciclaggio di denaro, accusato questa volta di aver sottratto criptovalute precedentemente sequestrate dalle autorità statunitensi mentre si trovava in carcere. Tre vicende differenti che mostrano come gruppi criminali e singoli operatori continuino ad adattarsi alle attività di contrasto delle forze dell’ordine.

Ryuk, un affiliato ammette il proprio ruolo nella distribuzione del ransomware

Karen Serobovich Vardanyan, cittadino armeno di 34 anni, si è dichiarato colpevole davanti alla giustizia statunitense per aver partecipato alle operazioni del ransomware Ryuk tra il 2019 e il 2020. Arrestato a Kyiv nell’aprile 2025 ed estradato negli Stati Uniti, avrebbe fornito l’accesso iniziale alle reti compromesse e collaborato all’installazione del malware su centinaia di server e workstation. Tra gli episodi contestati figura l’attacco contro un’azienda del Michigan, costretta a pagare 200 bitcoin, pari a oltre 1,1 milioni di dollari secondo il valore dell’epoca, oltre ad attacchi contro una società tecnologica dell’Oregon e un istituto scolastico del Texas. Secondo il Dipartimento di Giustizia, il gruppo avrebbe incassato circa 1.610 bitcoin, equivalenti a circa 15 milioni di dollari al momento dei fatti, contribuendo a una campagna ransomware che tra il 2018 e il 2020 ha generato ricavi superiori a 150 milioni di dollari.

Dalla fine di Ryuk alla nascita dell’ecosistema Conti

Il caso giudiziario offre anche uno sguardo sull’evoluzione delle principali organizzazioni ransomware. Ryuk è stato uno dei gruppi più attivi durante la pandemia di COVID-19, prendendo di mira infrastrutture critiche, aziende private e strutture sanitarie con una media di circa 20 intrusioni settimanali nel periodo di massima attività. Dopo il progressivo smantellamento dell’operazione nel 2020, molti affiliati sono confluiti nel gruppo Conti, che negli anni successivi è diventato una delle organizzazioni criminali più pericolose del panorama cyber. La successiva pubblicazione delle chat interne e del codice sorgente nel 2022 ha provocato la frammentazione di Conti in numerosi gruppi indipendenti, alcuni dei quali continuano ancora oggi a operare. Vardanyan sarà condannato nel settembre 2026 e rischia fino a 15 anni di reclusione, oltre a pesanti sanzioni economiche e al pagamento di oltre 1,1 milioni di dollari di risarcimenti alle vittime.

Il breach di Odido porta gli investigatori verso hacker olandesi

Annuncio

Nei Paesi Bassi, la Nationale Politie ha annunciato di aver raccolto elementi che fanno ritenere probabile il coinvolgimento di soggetti locali nell’attacco informatico che ha colpito Odido, uno dei maggiori operatori di telecomunicazioni del Paese. L’intrusione, avvenuta il 7 febbraio, ha consentito agli aggressori di accedere al sistema di assistenza clienti e sottrarre dati personali relativi a circa 6,2 milioni di utenti. Le informazioni compromesse comprendono nomi, indirizzi, numeri di telefono, indirizzi email, coordinate IBAN, date di nascita e, in alcuni casi, dati di documenti d’identità. L’azienda ha precisato che non risultano coinvolti password, dati di traffico telefonico, informazioni di geolocalizzazione o copie digitali dei documenti. Secondo gli investigatori, poco prima della violazione un individuo di lingua olandese avrebbe contattato telefonicamente il servizio clienti fingendosi un tecnico interno, ottenendo informazioni utilizzate successivamente per accedere ai sistemi aziendali.

ShinyHunters conferma l’evoluzione del social engineering

La responsabilità dell’attacco è stata rivendicata dal gruppo ShinyHunters, che ha diffuso un archivio da circa 88 GB contenente oltre 15 milioni di record riconducibili alla violazione. L’organizzazione è nota per campagne di vishing particolarmente sofisticate, nelle quali gli operatori si spacciano per personale dei reparti IT al fine di convincere le vittime a fornire credenziali o codici di autenticazione multifattore. Una volta ottenuto l’accesso agli account di Okta, Microsoft, Google o altre piattaforme di identità, gli aggressori estendono l’intrusione verso servizi SaaS come Microsoft 365, Google Workspace, Slack, Salesforce, Dropbox, Adobe e Atlassian. Gli investigatori olandesi ritengono che l’analisi delle prove raccolte possa consentire di identificare direttamente alcuni responsabili dell’attacco, confermando come le operazioni di social engineering lascino spesso tracce digitali utilizzabili durante le indagini.

Un riciclatore tenta di recuperare criptovalute già sequestrate

Negli Stati Uniti, il cittadino bulgaro Rossen G. Iossifov, già detenuto per una condanna a 121 mesi per riciclaggio di denaro, è stato incriminato per aver sottratto circa 290.000 dollari in criptovalute precedentemente confiscate dalle autorità. Secondo l’accusa, nel gennaio 2024 avrebbe organizzato una cospirazione finalizzata a spostare gli asset digitali attraverso diversi exchange e servizi di cryptocurrency mixing, nel tentativo di sottrarli definitivamente ai sequestri giudiziari. Iossifov aveva già gestito in passato RG Coins, un exchange con sede a Sofia, utilizzato per riciclare i proventi della Alexandria Online Auction Fraud Network, organizzazione criminale che aveva truffato centinaia di cittadini statunitensi mediante falsi annunci pubblicati su Craigslist ed eBay. Attraverso la piattaforma sarebbero transitati quasi 5 milioni di dollari, con guadagni personali superiori a 184.000 dollari.

Il riciclaggio crypto resta una priorità investigativa

Le nuove accuse evidenziano la crescente attenzione delle autorità verso il recupero e la tutela degli asset digitali sequestrati. Secondo il Secret Service statunitense, il tentativo di sottrarre criptovalute già confiscate rappresenta una sfida diretta ai provvedimenti dell’autorità giudiziaria e ai diritti delle vittime delle frodi online. Oltre al procedimento già in corso, Iossifov rischia ulteriori 25 anni di carcere per rimozione fraudolenta di beni sottoposti a sequestro e riciclaggio di denaro. Il caso conferma inoltre come i servizi di mixing e gli exchange privi di adeguati controlli continuino a essere strumenti privilegiati dalle organizzazioni criminali per occultare la provenienza dei fondi digitali.

Le indagini mostrano un cybercrime sempre più adattabile

Le tre vicende confermano che la pressione esercitata dalle forze dell’ordine internazionali non ha ridotto la capacità di adattamento degli attori criminali. Le operazioni ransomware continuano a produrre effetti anche anni dopo la loro chiusura grazie ai procedimenti giudiziari ancora in corso, gruppi come ShinyHunters perfezionano continuamente tecniche di social engineering per compromettere grandi organizzazioni, mentre il riciclaggio di criptovalute resta uno dei principali strumenti per monetizzare attività illecite. Per le aziende, queste indagini rappresentano un promemoria sull’importanza di rafforzare la formazione contro il vishing, implementare controlli efficaci sugli accessi privilegiati, monitorare costantemente le infrastrutture esposte e mantenere una strategia di risposta agli incidenti capace di reagire rapidamente a ransomware, furti di dati e compromissioni delle identità digitali.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto