L’indagine condotta dal Centro operativo per la sicurezza cibernetica (COSC) della Lombardia, in collaborazione con il CNAIPIC del Servizio Polizia postale, ha portato all’identificazione e all’arresto in Francia di un informatico trentacinquenne. Quest’ultimo è ritenuto una figura chiave nella gang criminale per il suo ruolo nello sviluppo di software malevoli utilizzati per cifrare i dati delle aziende vittime di attacchi.
Ragnar Locker: una minaccia globale
Ragnar Locker rappresenta uno dei principali gruppi criminali specializzati in attacchi informatici di tipo ransomware. Questi attacchi, particolarmente distruttivi, cifrano e paralizzano i sistemi informatici, compromettendo l’erogazione di servizi pubblici essenziali in diversi settori. Tra le vittime più note del gruppo, si annoverano l’ospedale israeliano “Mayanei Hayeshua” di Tel Aviv e la principale compagnia aerea portoghese. In Italia, il gruppo ha colpito l’Azienda Ospedaliera di Alessandria, la Campari s.p.a. e la Dollmar s.p.a.
Richieste di riscatto e doppia estorsione
I criminali, dopo aver cifrato i dati delle aziende, richiedevano riscatti che variavano tra i 5 e i 70 milioni di dollari. Tuttavia, anche dopo il pagamento, i dati non venivano restituiti. Al contrario, seguiva una nuova minaccia: la pubblicazione dei dati rubati sul darkweb, una tecnica conosciuta come “doppia estorsione”. Il gruppo criminale cercava anche di dissuadere le vittime dal contattare la polizia, minacciando di esporre i dati sul “Muro della Vergogna” nel darkweb, ora sequestrato.
Collaborazione internazionale e arresto
Le indagini della Polizia Postale, coordinate dalla Procura della Repubblica di Milano, hanno collaborato con la Gendarmeria Francese, l’FBI e le forze dell’ordine di altri 7 Paesi. Questa collaborazione ha culminato in un’operazione congiunta che ha portato all’arresto del trentacinquenne all’aeroporto di Parigi. Durante l’operazione, sono stati anche sequestrati i computer utilizzati per gestire l’infrastruttura criminale in diversi Paesi europei.
L’operazione “TALPA”
L’indagine, avviata a seguito degli attacchi di Ragnar Locker nell’ottobre 2020, ha permesso di identificare e localizzare l’intera infrastruttura criminale. Quest’ultima era protetta da un avanzato sistema di anonimizzazione e utilizzava server distribuiti globalmente. L’operazione “TALPA”, che ha coinvolto le forze dell’ordine di 12 Paesi, rappresenta un importante passo avanti nelle indagini relative ai ransomware, notoriamente complesse a causa della natura internazionale delle infrastrutture criminali e dell’uso di criptovalute.
Il commento di Crowd Strike su Ragnar Locker
“CrowdStrike traccia RagnarLocker come VIKING SPIDER, il gruppo attivo almeno da dicembre 2019. VIKING SPIDER è uno dei primi avversari ransomware Big Game Hunting a sfruttare la tecnica di minaccia di pubblicazione dei dati rubati su un DLS per fare pressione sulle vittime. Nel suo periodo di attività, VIKING SPIDER ha pubblicato dati di oltre un centinaio di vittime di 27 settori sul proprio DLS. CrowdStrike Intelligence ritiene che questa operazione avrà probabilmente un forte impatto sulle operazioni di VIKING SPIDER nel medio termine. Questa considerazione è fatta con moderata fiducia in base all’efficacia che hanno avuto altre operazioni simili in passato” – Adam Meyers, head of Counter Adversary Operations, CrowdStrike.