Diffondere “Klopp Ransomware” per estorcere Bitcoin… Organizzazione criminale internazionale accusata di riciclaggio di denaro.
L’Organizzazione internazionale di polizia criminale, INTERPOL, ha effettuato arresti e ha emesso avvisi rossi per altri sospetti ritenuti responsabili di una rete globale di criminalità informatica in un’indagine e operazione transcontinentale durata 30 mesi.
L’agenzia ha emesso due Red Notice venerdì (5 novembre 2021), avvertendo i suoi 194 paesi membri a seguito di una richiesta della divisione investigativa sulla criminalità informatica della Corea del Sud tramite l’Ufficio centrale nazionale dell’INTERPOL a Seoul.
Un avviso rosso è una richiesta alle forze dell’ordine di tutto il mondo per individuare e arrestare provvisoriamente una persona in attesa di estradizione, consegna o altra azione legale simile nei suoi confronti, nel gergo dell’Interpol.
Gli avvisi sono stati emessi in seguito all’arresto in Ucraina di sei membri di una famigerata famiglia di ransomware, Clop nel corso di un’operazione globale coordinata dall’INTERPOL e che ha coinvolto anche le forze dell’ordine in Corea del Sud, le forze dell’ordine statunitensi e la polizia nazionale dell’Ucraina lo scorso giugno 2021.
Operazione Cyclone
Al momento dell’operazione a giugno, la polizia in Ucraina ha affermato che gli agenti hanno condotto 21 perquisizioni nella capitale di Kiev e nella regione circostante, perquisendo le case e le auto degli imputati e sequestrando apparecchiature informatiche, automobili e circa 185.000 dollari in contanti.
La polizia ha anche affermato di aver interrotto le infrastrutture utilizzate per gli attacchi.
La notizia degli arresti è arrivata poche ore prima che il presidente degli Stati Uniti Joe Biden incontrasse il presidente russo Vladimir Putin in un vertice a Ginevra.
Biden ha pressato Putin a fare di più per limitare gli attacchi informatici globali lanciati da persone all’interno del territorio russo. Le principali nazioni industrializzate in un incontro in Inghilterra, hanno anche invitato “tutti gli stati a identificare e interrompere urgentemente le reti criminali ransomware che operano all’interno dei loro confini e ritenere tali reti responsabili delle loro azioni” (non pagare più riscatti).
Operazione Cyclone, un nome in codice per questo attacco globale, segue le forze dell’ordine internazionali che indagano sugli attacchi contro aziende coreane e istituzioni accademiche statunitensi da parte del gruppo di minacce ransomware Clop.
L’operazione è stata coordinata dal reparto della divisione informatica dell’INTERPOL a Singapore.
A giugno le autorità hanno affermato che gli imputati erano coinvolti in attacchi contro organizzazioni in Corea del Sud e negli Stati Uniti, tra cui la Stanford University Medical School, l’Università del Maryland e l’Università della California.
La polizia afferma che gli attacchi nel 2019 contro solo quattro aziende sudcoreane, hanno portato al blocco di 810 macchine tra server e PC, con crittografia del ransomware Clop.
Come parte di questi attacchi, la polizia afferma che l’operazione Clop ha utilizzato una varietà di strumenti, tra cui la diffusione del RAT “FlawedAmmyy” sui sistemi per fornire l’accesso remoto e l’esecuzione del software di test di penetrazione Cobalt Strike per trovare vulnerabilità sfruttabili, consentendo agli aggressori di spostarsi lateralmente attraverso la rete e infettare più sistemi.
“Gli operatori di malware Clop in Ucraina avrebbero attaccato obiettivi privati e aziendali in Corea e negli Stati Uniti bloccando l’accesso ai file e alle reti dei loro computer, e poi hanno chiesto riscatti esorbitanti per ripristinare l’accesso. Si pensa che i sospetti abbiano facilitato il trasferimento e il prelievo di risorse per conto del gruppo ransomware, minacciando anche di rendere pubblici i dati sensibili se non fossero stati effettuati ulteriori pagamenti”, afferma l’INTERPOL nel rapporto.
Se condannati per le accuse di hacking e riciclaggio di denaro nei loro confronti, i sospettati rischiano fino a otto anni di carcere.
Clop esegue un’operazione ransomware-as-a-service. Offre un portale che gli affiliati possono utilizzare per generare malware di cryptolocking e quindi infettare le vittime. Ogni volta che una vittima paga, l’operatore e l’affiliato si dividono i profitti.
Di che profitti si parla?
Nel febbraio 2019, le bande coinvolte hanno distribuito il ransomware Klopp a quattro università e aziende nazionali, hanno crittografato 720 principali sistemi in cui sono state archiviate e gestite risorse informative, come operazioni accademiche, documentazione di produzione e progettazione di strutture, e quindi li hanno esfiltrati per la minaccia di pubblicazione. Il gruppo era accusato di aver estorto in cambio 65 bitcoin (3.5 milioni di euro).
Si sono infiltrati nella rete informatica interna raccogliendo in anticipo informazioni su università e piccole e medie imprese con livelli di sicurezza relativamente deboli, quindi inviando un’e-mail dannosa di phishing all’amministratore per indurlo ad aprirla. Successivamente, è stato rivelato che hanno preso il controllo del sistema di gestione centrale utilizzando le vulnerabilità della sicurezza del software, infettando con il ransomware Klopp e richiedendo altri bitcoin.
Inoltre, INTERPOL riferisce che, oltre ai propri partner privati (Trend Micro, CDI, Kaspersky Lab, Palo Alto Networks, Fortinet e Group-IB), altre due società specializzate in minacce informatiche con sede in Corea del Sud, S2W LAB e KFSI, hanno fornito all’agenzia una preziosa analisi dei dati del dark web durante l’operazione.
“L’operazione Cyclone continua a fornire prove che stanno alimentando ulteriori indagini sulla criminalità informatica e consentendo alla comunità di polizia internazionale di interrompere numerosi canali utilizzati dai criminali informatici per riciclare la criptovaluta”, afferma INTERPOL.