Grandi azioni delle forze dell’ordine nel mondo contro REvil, il gruppo criminale legato alla Russia dietro gli attacchi ransomware che hanno paralizzato infrastrutture critiche e imprese.
Revil era stato responsabile, tra l’altro, del devastante attacco a Kaseya.
Ransomware affare di Stato: lo scontro con le gang sale a nuovi livelli
In precedenza, l’agenzia per l’applicazione della legge dell’Unione europea ha detto che le autorità in Romania hanno arrestato due persone in connessione con REvil. I sospetti sono collegati a 5.000 infezioni di computer e hanno guadagnato circa 580.000 dollari dagli attacchi, ha comunicato l’Europol.
Indice degli argomenti
L’operazione contro Revil
In azione congiunta le forze dell’ordine di Usa ed Europa. L’operazione ha portato ad arresti e al sequestro di 6 milioni di dollari. Arrestato l’ucraino Yaroslav Vasinskyi, 22 anni, accusato di aver lavorato con co-cospiratori per ora anonimi per lanciare attacchi ransomware REvil, tra cui la violazione Kaseya. Vasinskyi affronta diversi capi d’accusa legati all’hacking, compresa la cospirazione per commettere il riciclaggio di denaro. Gli Stati Uniti stanno cercando di ottenere la sua estradizione dalla Polonia.
Vasinskyi è stato accusato di essere coinvolto in circa 2.500 attacchi ransomware che hanno fruttato più di 2 milioni di dollari in pagamenti di estorsione.
Il Dipartimento di Giustizia Usa ha annunciato anche di avere sequestrato 6,1 milioni di dollari in criptovaluta, proventi di un altro presunto operatore REvil e cittadino russo, Yevgeniy Polyanin.
Il Dipartimento del Tesoro ha inoltre imposto sanzioni contro i due uomini, così come contro Chatex, uno exchange di criptovaluta collegato alla Russia che presumibilmente ha facilitato i pagamenti del ransomware.
La minaccia Revil
L’arresto di Vasinskyi “dimostra quanto rapidamente agiremo insieme ai nostri partner internazionali per identificare, localizzare e arrestare i presunti criminali informatici, non importa dove si trovino”, ha detto lunedì il procuratore generale Merrick Garland. Garland ha anche detto che le accuse contro il signor Vasinskyi sono state presentate sei settimane dopo l’attacco Kaseya, ma sono rimaste sigillate fino a quando le autorità potrebbero prenderlo in custodia.
Da quando è emerso intorno al 2018, il ransomware REvil è stato utilizzato in modo aggressivo nei cyberattacchi, dicono i ricercatori di sicurezza. Il gruppo dietro di esso vende ransomware come servizio – una versione criminale di un servizio di cloud computing che consente agli hacker di gestire le loro attività criminali da un portale web-based.
“È ora tra un gruppo d’elite di bande di estorsione informatica che sono responsabili dell’aumento degli attacchi debilitanti”, ha detto la società di sicurezza Palo Alto Networks all’inizio di quest’anno.
REvil si è recentemente trovata sotto la pressione delle forze dell’ordine internazionali, ha detto John Hultquist, vice presidente dell’analisi di Mandiant, una società di cyber intelligence con sede negli Stati Uniti. Oltre all’arresto di affiliati, i servizi del gruppo sul dark web – parte di internet nascosta da un software che fornisce l’anonimato online – sono stati recentemente chiusi, ha detto.
Dopo gli attacchi all’inizio di quest’anno a JBS e Colonial Pipeline Co, che trasporta benzina, diesel, jet fuel e altri prodotti raffinati negli Stati Uniti orientali, l’amministrazione Biden ha preso provvedimenti per affrontare il problema del ransomware. Il Dipartimento di Giustizia ha formato una task force per il ransomware e un team di applicazione delle criptovalute e nelle ultime settimane il Dipartimento di Stato ha detto che stava creando un ufficio per il cyberspazio e la politica digitale, in parte per affrontare il problema del ransomware.
Colonial Pipeline ha pagato 4,4 milioni di dollari a un’altra banda criminale russa di ransomware conosciuta come DarkSide.
Kaseya non ha pagato alcuna richiesta di riscatto e alla fine ha ricevuto una chiave di decrittazione che ha permesso ai suoi clienti di annullare gli effetti del ransomware, ha detto una portavoce della società. L’azienda è “grata per il supporto e l’assistenza” che ha ricevuto dal governo degli Stati Uniti, ha detto.
Il sequestro di 6,1 milioni di dollari di valuta digitale segna la seconda volta quest’anno che le forze dell’ordine statunitensi hanno recuperato i pagamenti del ransomware. A giugno, le autorità hanno recuperato 2,3 milioni di dollari pagati durante l’hack di Colonial Pipeline.
“Questa non sarà l’ultima volta”, ha detto Garland.
Usa e Europa contro il ransomware russo
Il presidente Usa Biden e i suoi consiglieri senior hanno sempre definito negli ultimi mesi gli attacchi ransomware alle imprese e alle infrastrutture critiche degli Stati Uniti come una sempre più grave minaccia alla sicurezza nazionale, e i funzionari hanno cercato di fare pressione sulla Russia per agire all’interno dei suoi confini sugli operatori ransomware criminali conosciuti.
Un attacco ransomware su Kaseya quest’estate ha colpito circa 1.500 aziende, molte delle quali piccole e medie imprese che dipendevano dal software Kaseya, ha detto la società.
“Quando ho incontrato il presidente Putin a giugno, ho chiarito che gli Stati Uniti avrebbero intrapreso azioni per ritenere i criminali informatici responsabili”, ha detto Biden lunedì. “Questo è quello che abbiamo fatto oggi”.
L’amministrazione ha anche sottolineato la necessità di una cooperazione internazionale per affrontare il problema, in parte a causa dello scetticismo che la Russia intende fare molto per reprimere i gruppi di hacking nella sua sfera di influenza. Almeno 17 paesi sono stati coinvolti negli sforzi per colpire REvil e i suoi affiliati, ha detto Europol.
La nuova strategia contro i ransomware
“Le operazioni internazionali i cui risultati sono stati divulgati nelle ultime dimostrano l’impegno degli stati nel contrasto di una pratica criminale che è causa di perdite di miliardi di dollari su scala mondiale. Gli attacchi ransomware stanno aumentando in frequenza e spaventano soprattutto per i potenziali impatti sulle principali supply chain (i.e. energia, alimentare) e sulle infrastrutture critiche”, ha spiegato l’esperto cyber Pierluigi Paganini.
“I governi ed i principali corpi di polizia stanno collaborando in una caccia senza precedenti ai principali gruppi ransomware ed alle relative reti di affiliati. Si colpiscono non solo le gang con arresti mirati e frutto di investigazioni di molti mesi, ma si cerca di attaccare anche l’ecosistema finanziario dietro queste operazioni“.
“Ecco, quindi, che si annunciano sanzioni nei confronti degli exchange utilizzati da molte gang ransomware”.
“Infine, non possiamo non citare le ricompense offerte dal Dipartimento di Stato americano a coloro che forniranno informazioni utili all’identificazione ed arresto degli esponenti di spicco delle principali gang ransomware, ad oggi proprio REvil e BlackMatter”.
Ma attenzione: “sebbene si registrino continui successi da parte delle forze dell’ordine, non possiamo abbassare la guardia. Molti dei gruppi presi di mira dalle autorità risorgeranno, come accaduto in passato, sotto altro nome e pronti a colpire le nostre aziende”, conclude Paganini.