Un’operazione congiunta di polizia coordinata a livello internazionale da Europol ed Eurojust ha inflitto un duro colpo a Ragnar Locker, uno dei gruppi ransomware più pericolosi degli ultimi noto per gli attacchi contro infrastrutture critiche in tutto il mondo.
Indice degli argomenti
Infrastruttura Ragnar Locker smantellata e responsabili sotto inchiesta
L’operazione, condotta tra il 16 e il 20 ottobre, ha portato a perquisizioni in Repubblica Ceca, Spagna e Lettonia. Il principale responsabile ai vertici di questo gruppo malintenzionato è stato arrestato a Parigi, il 16 ottobre, e la sua casa in Repubblica Ceca è stata perquisita. In Spagna e Lettonia, cinque sospetti sono stati interrogati. Alla fine della settimana dopo queste azioni, il principale responsabile, sospettato di essere uno sviluppatore del gruppo Ragnar Locker, è stato portato davanti ai magistrati inquirenti del Tribunale di Parigi.
L’operazione ha anche comportato il sequestro dell’infrastruttura del ransomware nei Paesi Bassi, in Germania e in Svezia. In Svezia, in particolare, è stato bloccato il sito web di fuga dei dati sotto rete Tor.
La vita operativa di Ragnar Locker
Ragnar Locker, attivo da dicembre 2019, è il nome di questo malware e del gruppo criminale che lo ha sviluppato e gestito. Questo gruppo ha attaccato infrastrutture critiche in tutto il mondo, compresa la compagnia aerea di bandiera portoghese e un ospedale in Israele.
Dal punto di vista dell’analisi delle fonti aperte, CyberSecurity360 ha potuto constatare che, per questo gruppo criminale, la grande fetta di guadagno è stata sviluppata tra la fine del 2020 e il 2021. Infatti finora sono stati resi noti quattro indirizzi blockchain relativi a wallet Bitcoin afferenti al gruppo criminale che mostrano transazioni di importo rilevante, anche superiore ai 2 milioni di dollari, dai primi mesi del 2021 fino a maggio dello stesso anno (fonte dati: DRM).
L’eventuale presenza di altri wallet più recenti, non è stata finora resa nota pubblicamente.
Il ransomware Ragnar Locker ha mirato principalmente a dispositivi con sistemi operativi Microsoft Windows, sfruttando servizi esposti come il Protocollo Desktop Remoto (RDP) per ottenere l’accesso ai sistemi.
Ciò che lo ha reso particolarmente pericoloso è stata la sua doppia tattica di estorsione: richiedeva infatti pagamenti esorbitanti sia per strumenti di decrittazione sia per il mancato rilascio dei dati sensibili rubati. Modus operandi questo, lo ricordiamo, comune ormai alla quasi totalità dei gruppi ransomware, salvo poche eccezioni di gruppi non spinti da moventi economici ma piuttosto da attivismo politico o ideologico.
Il gruppo Ragnar Locker ha inoltre minacciato apertamente le sue vittime di non contattare le forze dell’ordine, con la conseguenza di pubblicare i dati rubati delle organizzazioni vittima sul suo sito di fuga di notizie “Wall of Shame” nel dark web.
Dettagli dell’operazione internazionale di polizia
L’indagine è stata condotta in collaborazione tra la Gendarmeria Nazionale francese e le autorità di contrasto di Repubblica Ceca, Germania, Italia, Giappone, Lettonia, Paesi Bassi, Spagna, Svezia, Ucraina e Stati Uniti d’America.
L’Italia ha collaborato con le forze della Polizia di Stato e la Polizia Postale e delle Comunicazioni.
L’operazione di smantellamento dell’infrastruttura del ransomware Ragnar Locker è iniziata nel 2021 e ha visto il coinvolgimento di Europol, che ha svolto un ruolo chiave nella coordinazione tra i paesi coinvolti.
Il Centro europeo per la criminalità informatica di Europol ha supportato l’indagine fornendo supporto analitico, forense e di tracciamento crittografico. Questa settimana, Europol ha istituito un posto di comando virtuale per garantire un coordinamento senza soluzione di continuità tra tutte le autorità coinvolte.
Anche Eurojust ha svolto un ruolo importante, ospitando cinque riunioni di coordinamento per facilitare la cooperazione giudiziaria tra le autorità dei paesi coinvolti. Durante la settimana d’azione, Eurojust ha istituito un centro di coordinamento per consentire una rapida cooperazione tra le autorità giudiziarie coinvolte.
L’azione è stata condotta nell’ambito della Piattaforma multidisciplinare europea contro le minacce penali (EMPACT). Questo successo dimostra l’importanza della cooperazione internazionale nel combattere i gruppi ransomware e invia un messaggio forte agli operatori di ransomware che pensano di poter continuare i loro attacchi senza conseguenze.
La collaborazione tra le autorità di contrasto coinvolte è stata sostenuta anche dalla Joint Cybercrime Action Taskforce (J-CAT) di Europol, che ha riunito ufficiali di collegamento per la criminalità informatica.
