hosting bulletproof russo spagna frode 140 milioni

USA colpiscono l’hosting dei ransomware russi, la Spagna azzera una maxi truffa da 140 milioni

🛡️ Executive Summary

  • Il Dipartimento di Giustizia incrimina tre cittadini russi e due società accusati di fornire hosting resiliente a ransomware, malware e marketplace criminali.
  • La Polizia spagnola smantella una rete BEC e di frodi finanziarie che utilizzava oltre 800 conti bancari per riciclare i proventi.
  • Le operazioni colpiscono infrastrutture tecniche e finanziarie del cybercrime, ma i dati sequestrati dovranno ora sostenere identificazioni e procedimenti internazionali.

Le autorità statunitensi e spagnole hanno colpito due componenti essenziali dell’economia cybercriminale: le infrastrutture digitali che mantengono online ransomware e malware e le reti finanziarie utilizzate per riciclare i proventi delle frodi. Negli Stati Uniti, il Dipartimento di Giustizia ha incriminato tre cittadini russi e due società accusati di gestire servizi di bulletproof hosting per gruppi come LockBit, BlackSuit e Play. In Spagna, la Polizia Nazionale ha smantellato una struttura che avrebbe movimentato circa 140 milioni di euro attraverso business email compromise, false opportunità di investimento, società di copertura e centinaia di conti bancari.

Media Land e ML.Cloud accusate di proteggere l’infrastruttura criminale

Annuncio

L’incriminazione statunitense coinvolge Aleksandr Volosovik, conosciuto online come Yalishanda, Kirill Zatolokin e Yulia Pankova, insieme alle società russe Media Land LLC e ML.Cloud LLC. Secondo l’accusa, gli imputati avrebbero costruito un servizio di hosting progettato per resistere alle segnalazioni di abuso, ai sequestri e alle richieste di rimozione. L’offerta comprendeva server virtuali privati, macchine dedicate, registrazione di domini e capacità fast-flux, tecnica che associa rapidamente un dominio a numerosi indirizzi IP per rendere più difficile l’individuazione e il blocco dell’infrastruttura. I gestori avrebbero ignorato sistematicamente le comunicazioni ricevute da provider, ricercatori e forze dell’ordine, fornendo anche risposte false per ritardare gli interventi. I pagamenti venivano accettati in criptovalute, comprese somme riconducibili ad attività illecite, mentre server e risorse di rete risultavano distribuiti tra Russia, Paesi Bassi e Stati Uniti. La presenza di macchine fisiche in Ohio e New Jersey ha permesso alle autorità americane di ricostruire parte dell’operatività e collegare i servizi ai clienti criminali. Media Land era già stata colpita da misure statunitensi, come ricostruito nell’articolo sulle sanzioni USA contro la società e sulle infrastrutture usate dal cybercrime.

LockBit, BlackSuit e Play avrebbero utilizzato i server russi

L’infrastruttura sarebbe stata impiegata da almeno 17 gruppi criminali per distribuire malware, ospitare pannelli di comando e controllo, gestire leak site e sostenere operazioni ransomware. Tra i nomi citati figurano LockBit, BlackSuit e Play, famiglie che hanno colpito imprese, scuole, ospedali, enti pubblici e organizzazioni sanitarie. Gli attacchi attribuiti ai clienti dei servizi avrebbero provocato danni superiori a 62 milioni di dollari, oltre a interruzioni operative e furti di dati in almeno ventuno Stati americani. I server sarebbero stati utilizzati anche per campagne DDoS, marketplace illegali e piattaforme per la vendita di carte di pagamento compromesse, compreso BriansClub. L’accusa sostiene inoltre che gli imputati gestissero wallet destinati a ricevere pagamenti e riscatti e offrissero supporto tecnico ai clienti, superando quindi il ruolo di semplice fornitore inconsapevole. Il database acquisito dagli investigatori contiene circa 389 username, registrazioni delle transazioni e dettagli amministrativi che potrebbero permettere di identificare ulteriori affiliati. Il contrasto a LockBit aveva già prodotto arresti, sequestri di domini e strumenti di decrittazione, come documentato nell’operazione internazionale che ha portato al sequestro dell’infrastruttura del ransomware e nei successivi quattro arresti legati al gruppo.

Il bulletproof hosting mantiene operativo il cybercrime industriale

I servizi bulletproof rappresentano una componente strutturale del crimine digitale perché offrono continuità operativa ad attività che i provider ordinari sospenderebbero rapidamente. La resilienza deriva dalla combinazione di giurisdizioni favorevoli, identità societarie opache, registrazioni di dominio rapide, infrastrutture distribuite e rotazione degli indirizzi IP. Questa architettura consente ai criminali di sostituire server sequestrati, spostare pannelli di controllo e mantenere online siti di estorsione anche durante operazioni internazionali. L’intervento contro Media Land e ML.Cloud segue la strategia adottata contro VPN, proxy e piattaforme specializzate utilizzate dai ransomware. A maggio Europol aveva smantellato First VPN, servizio impiegato per nascondere le connessioni criminali, mentre l’IOCTA 2026 ha indicato proxy residenziali, access broker e infrastrutture resilienti tra i principali acceleratori dell’economia cybercriminale. Il sequestro di server e registri può quindi produrre effetti più ampi dell’arresto di un singolo affiliato, perché interrompe contemporaneamente l’attività di più gruppi e rende visibili relazioni che normalmente rimangono separate.

La rete spagnola utilizzava oltre 800 conti bancari

La seconda operazione ha portato all’arresto di quattro persone tra Spagna, Portogallo e Panama, con il supporto di Europol e Interpol. L’indagine è partita da movimenti sospetti riconducibili a 19 società e ha individuato una rete capace di canalizzare circa 94 milioni di euro attraverso le proprie strutture. Altri 61 milioni sarebbero collegati ad attacchi BEC compiuti nel 2024, per un volume complessivo stimato vicino ai 140 milioni. Le autorità hanno eseguito perquisizioni in sei località tra Barcellona, Girona, Tarragona e Porto, sequestrando 15 computer e più di 170 smartphone. La rete utilizzava oltre 800 conti bancari, compresi almeno 120 conti societari, per ricevere, frammentare e trasferire il denaro verso altri Paesi. Sessantasette collaboratori esterni avrebbero agito come money mule, prestando identità, conti e società per rendere più complessa la ricostruzione dei flussi. Le autorità hanno congelato circa 3 milioni di euro, una quota ridotta rispetto al valore totale movimentato ma sufficiente a dimostrare la presenza di asset ancora raggiungibili.

BEC e false fatture alimentavano la catena del riciclaggio

La rete spagnola utilizzava tecniche di business email compromise, impersonificazione dei dirigenti e manipolazione delle fatture. Gli attaccanti compromettevano o imitavano account aziendali e convincevano dipendenti e fornitori a modificare coordinate bancarie, eseguire bonifici urgenti o trasferire fondi verso conti controllati dall’organizzazione. In altri casi proponevano investimenti fraudolenti, utilizzando piattaforme e comunicazioni costruite per apparire professionali. Una volta ricevuto, il denaro veniva suddiviso attraverso numerose transazioni e trasferito tra conti di persone fisiche, società di copertura e intermediari in Paesi differenti. Questo schema riduceva la probabilità di blocco immediato e rendeva difficile distinguere i movimenti illeciti dalle normali attività commerciali. Le campagne BEC restano tra le forme di cybercrime economicamente più redditizie perché richiedono meno infrastruttura rispetto al ransomware e sfruttano procedure aziendali reali. Matrice Digitale aveva già descritto il ruolo dell’ingegneria sociale nelle frodi BEC capaci di generare perdite per decine di miliardi di dollari e le operazioni coordinate contro i money mule utilizzati per spostare i proventi.

Le indagini colpiscono servizi e denaro, non soltanto gli esecutori

Le due operazioni mostrano un cambiamento nella strategia delle autorità. L’obiettivo non consiste più soltanto nell’identificare chi invia il malware o convince una vittima a effettuare un bonifico, ma nel disarticolare i servizi che rendono queste attività scalabili. Il bulletproof hosting offre continuità tecnica, mentre le reti di mule account forniscono liquidità e anonimizzazione finanziaria. Colpire entrambi i livelli aumenta il costo operativo per i gruppi criminali e può produrre dati utili per nuove indagini. Il database attribuito ai gestori russi e i dispositivi sequestrati in Spagna potrebbero rivelare clienti, affiliati, wallet, conti e interlocutori non ancora identificati. L’efficacia finale dipenderà però dalla capacità di tradurre queste informazioni in estradizioni, condanne, sequestri patrimoniali e rimozioni durature delle infrastrutture. Le operazioni internazionali hanno già dimostrato che molti gruppi riescono a ricostruire rapidamente server e canali finanziari, ma ogni intervento che riduce fiducia e continuità tra provider, affiliati e riciclatori indebolisce il modello industriale del cybercrime.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto