Sommario
Lāindagine condotta dal Centro operativo per la sicurezza cibernetica (COSC) della Lombardia, in collaborazione con il CNAIPIC del Servizio Polizia postale, ha portato allāidentificazione e allāarresto in Francia di un informatico trentacinquenne. Questāultimo ĆØ ritenuto una figura chiave nella gang criminale per il suo ruolo nello sviluppo di software malevoli utilizzati per cifrare i dati delle aziende vittime di attacchi.
Ragnar Locker: una minaccia globale
Ragnar Locker rappresenta uno dei principali gruppi criminali specializzati in attacchi informatici di tipo ransomware. Questi attacchi, particolarmente distruttivi, cifrano e paralizzano i sistemi informatici, compromettendo lāerogazione di servizi pubblici essenziali in diversi settori. Tra le vittime piĆ¹ note del gruppo, si annoverano lāospedale israeliano āMayanei Hayeshuaā di Tel Aviv e la principale compagnia aerea portoghese. In Italia, il gruppo ha colpito lāAzienda Ospedaliera di Alessandria, la Campari s.p.a. e la Dollmar s.p.a.
Richieste di riscatto e doppia estorsione
I criminali, dopo aver cifrato i dati delle aziende, richiedevano riscatti che variavano tra i 5 e i 70 milioni di dollari. Tuttavia, anche dopo il pagamento, i dati non venivano restituiti. Al contrario, seguiva una nuova minaccia: la pubblicazione dei dati rubati sul darkweb, una tecnica conosciuta come ādoppia estorsioneā. Il gruppo criminale cercava anche di dissuadere le vittime dal contattare la polizia, minacciando di esporre i dati sul āMuro della Vergognaā nel darkweb, ora sequestrato.
Collaborazione internazionale e arresto
Le indagini della Polizia Postale, coordinate dalla Procura della Repubblica di Milano, hanno collaborato con la Gendarmeria Francese, lāFBI e le forze dellāordine di altri 7 Paesi. Questa collaborazione ha culminato in unāoperazione congiunta che ha portato allāarresto del trentacinquenne allāaeroporto di Parigi. Durante lāoperazione, sono stati anche sequestrati i computer utilizzati per gestire lāinfrastruttura criminale in diversi Paesi europei.
Lāoperazione āTALPAā
Lāindagine, avviata a seguito degli attacchi di Ragnar Locker nellāottobre 2020, ha permesso di identificare e localizzare lāintera infrastruttura criminale. Questāultima era protetta da un avanzato sistema di anonimizzazione e utilizzava server distribuiti globalmente. Lāoperazione āTALPAā, che ha coinvolto le forze dellāordine di 12 Paesi, rappresenta un importante passo avanti nelle indagini relative ai ransomware, notoriamente complesse a causa della natura internazionale delle infrastrutture criminali e dellāuso di criptovalute.
Il commento di Crowd Strike su Ragnar Locker
āCrowdStrike traccia RagnarLocker come VIKING SPIDER, il gruppo attivo almeno da dicembre 2019. VIKING SPIDER ĆØ uno dei primi avversari ransomware Big Game Hunting a sfruttare la tecnica di minaccia di pubblicazione dei dati rubati su un DLS per fare pressione sulle vittime. Nel suo periodo di attivitĆ , VIKING SPIDER ha pubblicato dati di oltre un centinaio di vittime di 27 settori sul proprio DLS. CrowdStrike Intelligence ritiene che questa operazione avrĆ probabilmente un forte impatto sulle operazioni di VIKING SPIDER nel medio termine. Questa considerazione ĆØ fatta con moderata fiducia in base allāefficacia che hanno avuto altre operazioni simili in passatoāĀ ā Adam Meyers, head of Counter Adversary Operations, CrowdStrike.