Negli ultimi giorni, un evento epocale (perché purtroppo rari) ha fatto parlare di sé nel mondo cyber. Un’operazione congiunta tra le forze dell’ordine di tre continenti ha portato alla caduta dell’operazione ransomware Ragnar Locker. Questo successo segna un significativo passo avanti nella lotta contro la criminalità informatica su scala globale. Ma cosa ha reso Ragnar Locker così notorio e cosa possiamo imparare da questa vittoria?
Il regno del terrore di Ragnar Locker
Ragnar Locker è stato un nome temuto sul fronte della sicurezza informatica sin dalla fine del 2019. L’FBI e la CISA hanno emesso un severo avvertimento congiunto nel marzo 2022, sottolineando le attività pericolose di questo gruppo. Le statistiche sono impressionanti: almeno 104 entità in 10 settori di infrastrutture critiche erano state colpite dal ransomware Ragnar Locker (dati DRM e 24 solo nel 2023), mettendo a repentaglio la produzione, l’energia, i servizi finanziari, il governo e la tecnologia dell’informazione.
Ciò che ha reso Ragnar Locker ancora più insidioso è stata la sua capacità di adattamento. Gli autori di questo ransomware hanno costantemente modificato le loro tecniche di offuscamento per sfuggire al rilevamento e alla prevenzione. Questo atteggiamento sfidante e determinato ha messo alla prova le risorse delle organizzazioni e delle agenzie di sicurezza in tutto il mondo.
L’azione decisiva delle Forze dell’Ordine
Tuttavia, la storia di Ragnar Locker ha subito una svolta epica. Forze dell’ordine provenienti da Repubblica Ceca, Europa, Francia, Germania, Italia, Giappone, Lettonia, Paesi Bassi, Spagna e Stati Uniti hanno unito le forze per smantellare l’infrastruttura di questo gruppo criminale. Giovedì scorso, questa azione congiunta ha portato al sequestro dei siti di negoziazione Tor e dei punti di fuga dati di Ragnar Locker. Ora, chiunque visiti questi siti può vedere un messaggio che annuncia il sequestro come parte di questa azione di contrasto internazionale.
L’Italia rientra nell’operazione tramite le forze della Polizia di Stato e la Polizia Postale.
Un aspetto notevole di Ragnar Locker è stato il suo modus operandi. A differenza di molti gruppi di ransomware, non hanno adottato il modello “Ransomware-as-a-Service” per reclutare affiliati esterni. Invece, hanno collaborato con pentester esterni per infiltrarsi nelle reti, concentrandosi principalmente sulle reti aziendali. Una volta dentro, hanno rubato dati prima di crittografare i dispositivi. I file rubati sono stati utilizzati per la doppia estorsione, un’azione disonesta per massimizzare i profitti addebitando alle vittime due volte: una per la decrittazione e il recupero e l’altra per prevenire la divulgazione di dati sensibili.
Adam Meyers, head of Counter Adversary Operations di CrowdStrike, ha riferito che:
Si prevede che oggi, venerdì 20 ottobre 2023, le forze dell’ordine dell’Unione Europea, degli Stati Uniti e del Giappone annunceranno formalmente il sequestro del sito RagnarLocker, noto per le fughe di notizie (Dedicated Leak Site, abbreviato DLS). CrowdStrike traccia RagnarLocker come VIKING SPIDER, il gruppo attivo almeno da dicembre 2019. VIKING SPIDER è uno dei primi avversari ransomware Big Game Hunting a sfruttare la tecnica di minaccia di pubblicazione dei dati rubati su un DLS per fare pressione sulle vittime. Nel suo periodo di attività, VIKING SPIDER ha pubblicato dati di oltre un centinaio di vittime di 27 settori sul proprio DLS.
CrowdStrike Intelligence ritiene che questa operazione avrà probabilmente un forte impatto sulle operazioni di VIKING SPIDER nel medio termine. Questa considerazione è fatta con moderata fiducia in base all’efficacia che hanno avuto altre operazioni simili in passato
Imparare dalla caduta di Ragnar Locker
La fine dell’operazione Ragnar Locker è una vittoria significativa, ma non possiamo permetterci di abbassare la guardia. Il panorama delle minacce informatiche continua a evolversi, diventando sempre più sofisticato e pericoloso.
Ecco alcune lezioni chiave che possiamo imparare da questa storia:
- Collaborazione Internazionale: la collaborazione tra le forze dell’ordine di diversi paesi è stata fondamentale per smantellare Ragnar Locker. La collaborazione e la condivisione di informazioni tra le nazioni sono cruciali nella lotta contro la criminalità informatica.
- Adattabilità e Innovazione: gli autori di Ragnar Locker erano noti per adattarsi costantemente. Le organizzazioni di sicurezza informatica devono essere altrettanto agili nell’adattare le proprie difese contro nuove minacce.
- Educazione e Consapevolezza: gli attacchi di Ragnar Locker spesso hanno sfruttato la negligenza o l’ingenuità delle vittime. L’educazione e la consapevolezza in materia di sicurezza informatica sono fondamentali per ridurre il rischio di cadere vittima di ransomware.
In sintesi, la caduta di Ragnar Locker ci ricorda che la lotta contro il ransomware e la criminalità informatica è una battaglia continua. Rimanere informati e adottare solide pratiche di sicurezza informatica sono fondamentali per proteggere il nostro regno digitale. Soltanto attraverso la cooperazione, la determinazione e la conoscenza potremo sperare di vincere questa guerra.