Il Dipartimento di Giustizia sequestra 6,1 milioni di dollari in relazione a presunti estorsori di ransomware e trovato il responsabile dietro l’attacco a Kaseya (vediamo nomi cognomi e foto).
Europol e Interpol
Due sospetti affiliati al ransomware REvil sono stati arrestati dalle autorità rumene giovedì scorso nell’ambito di un’operazione di applicazione della legge internazionale, come annunciato lunedì da Europol.
Gli arresti sono stati effettuati nell’ambito dell'”Operazione GoldDust”, una campagna di contrasto del ransomware REvil condotta da Europol, Eurojust, Interpol e 17 paesi in più continenti. Europol ha dichiarato nel suo comunicato stampa che oltre ai due arresti del 4 novembre, da febbraio sono stati arrestati altri cinque sospetti affiliati: tre affiliati REvil e due affiliati GandCrab.
I due sospetti sarebbero stati responsabili di 5.000 infezioni ransomware e hanno ricevuto circa mezzo milione di euro in riscatto.
“Tutti questi arresti seguono gli sforzi congiunti delle forze dell’ordine internazionali di identificazione, intercettazione e sequestro di alcune delle infrastrutture utilizzate dalla famiglia di ransomware Sodinokibi/REvil, che è vista come il successore di GandCrab”, si legge nel comunicato stampa.
FBI e Dipartimento di Giustizia
Un sospetto criminale ucraino (22 anni) è stato arrestato e accusato negli Stati Uniti in relazione a una serie di costosi attacchi ransomware, incluso uno che ha fatto tremare le aziende di tutto il mondo nel fine settimana del 4 luglio, come hanno comunicato lunedì i funzionari statunitensi.
Yaroslav Vasinskyi (22 anni) è stato arrestato il mese scorso dopo un viaggio in Polonia, secondo il Dipartimento di Giustizia, che ha anche annunciato il recupero di 6,1 milioni di dollari in fondi illeciti da un cittadino russo che è stato accusato separatamente ed è ricercato dalle forze dell’ordine: Yevgeniy Polyanin, 28 anni.
Yaroslav Vasinskyi, cittadino ucraino, ha scritto il software dietro l’attacco ransomware della banda REvil collegata alla Russia contro la società di software Kaseya. Quell’attacco ha finito per infettare migliaia di aziende e le ha mantenute con operazioni limitate per settimane, secondo un’accusa del gran giurì.
Yevgeniy Polyanin, 28 anni, cittadino russo, è accusato e ricercato per aver condotto attacchi ransomware Sodinokibi/REvil contro più vittime, tra cui aziende ed enti governativi in Texas intorno al 16 agosto 2019.
Entrambi gli uomini sarebbero affiliati alla banda di ransomware REvil con sede in Russia, che è stata accusata di hack che hanno estorto almeno 200 milioni di dollari in pagamenti, ha affermato il procuratore generale Merrick Garland. Le vittime dell’ultimo anno hanno incluso la più grande azienda di lavorazione della carne al mondo, JBS SA, e una società di software chiamata Kaseya, in un attacco nel fine settimana delle festività estive che, secondo la società, ha colpito tra 800 e 1.500 aziende.
Il coinvolgimento di più agenzie nell’amministrazione Biden è stato forse la risposta più di alto profilo fino ad oggi a un blitz di attacchi ransomware che, secondo i funzionari, continua a minacciare la sicurezza nazionale e l’economia. Il vice procuratore generale Lisa Monaco sembrava prefigurare l’annuncio in un’intervista con Associated Press la scorsa settimana, dicendo che “nei giorni e nelle settimane a venire, assisterete a più arresti“.
Operazione coordinata
Per la riuscita di operazioni come questa, e per segnare informazioni che faranno da letteratura per altre operazioni future, ci sono state le forze di investigatori e pubblici ministeri di diverse giurisdizioni, tra cui: la polizia nazionale rumena e la direzione per le indagini sulla criminalità organizzata e il terrorismo; Polizia a cavallo canadese reale del Canada; Corte di Parigi e BL2C (unità di polizia anti-cybercrimine); polizia nazionale olandese; l’ufficio del procuratore nazionale, la guardia di frontiera, l’agenzia per la sicurezza interna e il ministero della Giustizia della Polonia; e i governi di Norvegia e Australia che hanno fornito un prezioso aiuto.
E inoltre hanno fornito una significativa assistenza il Dipartimento della rete per l’applicazione dei crimini finanziari del Tesoro (FinCEN), la Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security, la Procura tedesca di Stoccarda e l’Ufficio statale per le indagini penali del Baden-Wuerttemberg; Procura della Repubblica Svizzera II del Cantone di Zurigo e Polizia cantonale di Zurigo; National Crime Agency del Regno Unito; servizio segreto degli Stati Uniti; Dipartimento delle risorse informative del Texas; BitDefender; McAfee; e Microsoft.
E la Russia?
Durante il Summit di Cybersecurity a Ginevra, in Svizzera Biden e Putin hanno dichiarato e si sono impegnati entrambi per fornire un’assistenza comune alla lotta contro il crimine informatico. Dalle loro dichiarazioni è emerso che: “Per ridurre sistematicamente il suo impatto globale, dobbiamo affrontare il crimine informatico alla fonte, aumentando i costi e i rischi per i criminali. Ciò potrebbe essere ottenuto solo attraverso un’efficace collaborazione tra i governi e tra i governi e il settore privato”. (17 giugno 2021)
Poi però il 13 ottobre 2021 l’amministrazione Biden non ha invitato la Russia a partecipare al primo incontro di uno sforzo globale per combattere la criminalità informatica, ma potrebbe accogliere il paese che è diventato sinonimo di ransomware ai futuri raduni, ai quali partecipano 30 potenze di tutto il mondo.
“In questa prima tornata di discussioni non abbiamo invitato i russi a partecipare per una serie di motivi”, ha detto ai giornalisti un alto funzionario dell’amministrazione durante una telefonata martedì. “Ciò non esclude opportunità future per loro di partecipare mentre facciamo ulteriori sessioni”.
Il funzionario ha affermato che ci sono stati colloqui “candidi e diretti” all’interno del gruppo di esperti che è stato istituito dopo che il presidente Joe Biden e il presidente russo Vladimir Putin si sono incontrati all’inizio di quest’anno su quali azioni Washington si aspetta che il Cremlino intraprenda contro le bande di ransomware che operano sul suo territorio.