Ransomware

Il Canada svela le sue cyber-armi: la CSE rivendica l’hackeraggio di una gang ransomware-as-a-service

Dario Fadda 9 Luglio 2026

Le agenzie di intelligence raramente raccontano cosa fanno con le proprie capacità offensive. Per questo la relazione annuale 2025-2026 pubblicata dal Communications Security Establishment (CSE), l’agenzia di signals intelligence canadese, è una lettura rara: Ottawa ammette esplicitamente di aver condotto operazioni cyber attive contro trafficanti di precursori del fentanyl, un gruppo estremista e — punto che interessa più da vicino chi si occupa di ransomware — una gang di ransomware-as-a-service che aveva colpito sanità, trasporti e aziende canadesi.

Cosa ha rivelato il rapporto CSE

Il CSE è l’omologo canadese della NSA americana e del GCHQ britannico, parte dell’alleanza Five Eyes, con il mandato di raccogliere intelligence estera, difendere le reti del governo federale e — quando autorizzato — condurre “operazioni cyber attive” contro minacce alla sicurezza nazionale. Nel rapporto pubblicato la scorsa settimana, l’agenzia rivela di aver condotto tre operazioni offensive di questo tipo nell’anno fiscale coperto dal documento, oltre a una operazione difensiva.

La prima ha preso di mira broker internazionali di sostanze chimiche usate per produrre fentanil sintetico: il CSE ha raccolto intelligence sulla rete di distribuzione e ha poi condotto un’operazione che, secondo il rapporto, ne ha “compromesso e ridotto la capacità operativa”. La seconda ha riguardato un gruppo estremista attivo anche nel reclutamento in territorio canadese: l’agenzia ha analizzato struttura, portata e vulnerabilità del gruppo per un’operazione che ha “minato la credibilità del gruppo e limitato la sua capacità di radicalizzare e reclutare nuovi membri”. Formulazioni volutamente vaghe — tipiche di questo genere di disclosure — che comunque confermano l’uso di capacità cyber offensive contro obiettivi non statali con finalità di disruption, non solo di raccolta informativa.

L’operazione contro la gang ransomware

La terza operazione è quella di maggiore interesse per il pubblico di questo blog. Il CSE descrive un gruppo che gestiva un’infrastruttura ransomware-as-a-service, affittando l’accesso ad affiliati per condurre attacchi di extortion distruttivi. L’unità di signals intelligence dell’agenzia ha ricostruito le modalità con cui il gruppo colpiva i settori sanitario, dei trasporti e delle imprese in territorio canadese, per un totale — secondo fonti collegate al caso — di oltre 25 incidenti attribuiti al gruppo contro organizzazioni canadesi. L’operazione cyber attiva che ne è seguita ha reso “inoperabile” l’infrastruttura della gang e ha cancellato gran parte dei dati presenti sui suoi server.

Il rapporto precisa inoltre che, in parallelo, il CSE ha condotto “disruption tecniche” concorrenti contro altre 10 tra le gang ransomware più significative che prendono di mira il Canada, rendendo inutilizzabili parti della loro infrastruttura. Non vengono forniti dettagli su localizzazione geografica degli attori, nomi dei gruppi coinvolti o tecniche specifiche impiegate — una riservatezza operativa comprensibile, dato che rivelare metodi e strumenti comprometterebbe operazioni future contro bersagli simili.

Il contesto: Five Eyes e hunt forward

Questa disclosure si inserisce in una tendenza più ampia tra le agenzie di intelligence occidentali: rendere pubbliche, sia pure in forma sommaria, operazioni offensive contro il cybercrime organizzato. Lo US Cyber Command, con base a Fort Meade, conduce da anni le cosiddette “hunt forward operations”, inviando team cyber presso nazioni alleate per proteggerne le reti e disgregare operazioni offensive di attori avversari; il numero di queste missioni è passato da poche unità nel 2018 a oltre due dozzine nel solo 2025. Anche il rapporto CSE segnala una quarta operazione, di natura difensiva, condotta contro una campagna di phishing diretta contro istituzioni del governo federale canadese, con l’obiettivo dichiarato di degradarne l’infrastruttura e la capacità di colpire cittadini canadesi.

Il quadro che emerge conferma una dinamica osservata anche in altre giurisdizioni: le gang ransomware-as-a-service non sono più contrastate solo con arresti, sanzioni e sequestri di infrastruttura via law enforcement (il modello Europol/FBI applicato ad esempio a LockBit o Hive), ma sempre più spesso con operazioni cyber offensive condotte direttamente dalle agenzie di intelligence, che intervengono prima o parallelamente all’azione giudiziaria per limitare il danno operativo in tempo reale.

Perché conta per i difensori

Per i team di threat intelligence, disclosure di questo tipo — per quanto scarne di dettagli tecnici — sono comunque un segnale operativo utile: confermano che alcune infrastrutture ransomware-as-a-service possono sparire improvvisamente non per un errore operativo del gruppo o per un takedown di polizia annunciato, ma per un’azione statale silenziosa. Questo significa che un affiliato che perde improvvisamente l’accesso al pannello del proprio operatore RaaS, o una gang che smette di rispondere alle vittime in negoziazione, potrebbe non essere vittima di un dissidio interno ma di una disruption di intelligence non rivendicata pubblicamente dal gruppo colpito. Per le organizzazioni canadesi dei settori sanità, trasporti e impresa colpite in passato dal gruppo in questione, vale la pena mantenere alta l’attenzione: un’infrastruttura “resa inoperabile” non equivale a un’attribuzione penale, e nulla impedisce agli operatori di riorganizzarsi sotto un nuovo brand, come già visto ripetutamente nell’ecosistema ransomware.

  • Tre operazioni cyber offensive rivendicate dal CSE nell’anno fiscale 2025-2026: broker di precursori del fentanyl, gruppo estremista, gang ransomware-as-a-service
  • Infrastruttura della gang ransomware resa inoperabile, dati sui server cancellati
  • Disruption tecniche parallele contro altre 10 gang ransomware attive contro il Canada
  • Un’operazione difensiva contro una campagna di phishing verso il governo federale canadese
  • Nessun dettaglio pubblico su nomi dei gruppi, geolocalizzazione o TTP impiegate

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Il Canada svela le sue cyber-armi: la CSE rivendica l’hackeraggio di una gang ransomware-as-a-service, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community