Europol ha annunciato venerdì lo smantellamento del gruppo hacker associato al ransomware Ragnar Locker, insieme all’arresto di un “obiettivo chiave” in Francia.
Lo smantellamento del gruppo hacker che mette in giro ransomware detto Ragnar Locker
“L’azione è stata condotta tra il 16 e il 20 ottobre, con perquisizioni effettuate in Repubblica Ceca, Spagna e Lettonia“, ha dichiarato l’agenzia. “Il principale colpevole, sospettato di essere uno sviluppatore del gruppo Ragnar, è stato portato davanti ai magistrati istruttori del Tribunale Giudiziario di Parigi“.
È noto che altri cinque complici associati alla gang del ransomware siano stati interrogati in Spagna e Lettonia, con i server e il portale di “perdita di dati” sequestrati nei Paesi Bassi, in Germania e in Svezia.
Questo sforzo rappresenta l’ultima attività coordinata che coinvolge autorità della Repubblica Ceca, Francia, Germania, Italia, Giappone, Lettonia, Paesi Bassi, Spagna, Svezia, Ucraina e Stati Uniti; due sospetti associati alla banda del ransomware erano stati precedentemente arrestati in Ucraina nel 2021 ed un anno dopo, un altro membro era stato arrestato in Canada.
Ragnar Locker, emerso per la prima volta nel dicembre 2019, è noto per una serie di attacchi mirati a entità di varie infrastrutture in tutto il mondo; secondo Eurojust, il gruppo ha commesso attacchi contro 168 aziende internazionali in tutto il mondo dal 2020.
“Il gruppo Ragnar Locker era noto per utilizzare una tattica di doppia estorsione, richiedendo pagamenti esorbitanti per gli strumenti di decrittazione e per la non divulgazione dei dati sensibili rubati“, ha dichiarato Europol.
La “cyberpolizia” dell’Ucraina (l’equivalente della nostra postale, per capirci) ha dichiarato di aver condotto perquisizioni presso la residenza di uno dei membri sospettati a Kiev, sequestrando laptop, telefoni cellulari e supporti elettronici.
L’azione delle forze dell’ordine coincide con l’infiltrazione e la chiusura del sito di perdita gestito dal gruppo “emanatore” di ransomware Trigona da parte dell’Ukrainian Cyber Alliance (UCA), che ha eliminato 10 dei server, ma non prima di aver estratto i dati memorizzati in essi; ci sono prove che suggeriscono che gli autori dietro a Trigona abbiano utilizzato Atlassian Confluence per le loro attività.
Proprio come lo smantellamento di Hive e Ragnar Locker rappresenta sforzi in corso per affrontare la minaccia del ransomware, allo stesso modo sono le iniziative intraprese dai malintenzionati per evolversi e rilanciarsi con nuovi nomi; ad esempio, Hive è riemerso come Hunters International.
Tutto ciò si verifica mentre il Central Bureau of Investigation dell’India, basandosi su informazioni condivise da Amazon e anche Microsoft, ha dichiarato di aver effettuato perquisizioni in 76 località in 11 stati nell’ambito di un’operazione nazionale mirata a smantellare l’infrastruttura utilizzata per facilitare reati finanziari abilitati dalla tecnologia, come truffe di supporto tecnico e frodi legate alle criptovalute.
La missione, denominata Operazione Chakra-II, ha portato al sequestro di 32 telefoni cellulari, 48 laptop/dischi rigidi, immagini di due server, 33 schede SIM e pen drive, nonché al recupero di 15 account email.
Tutto ciò segue anche l’estradizione di Sandu Diaconu, un cittadino moldavo di 31 anni, dal Regno Unito agli Stati Uniti per affrontare accuse legate al suo ruolo come amministratore di E-Root Marketplace, un sito web che offriva accesso a oltre 350.000 credenziali di computer compromesse in tutto il mondo per attacchi ransomware, trasferimenti non autorizzati e frodi fiscali.
Il sito web, che è entrato in funzione nel gennaio 2015, è stato chiuso nel 2020 e Diaconu è stato arrestato nel Regno Unito nel maggio 2021 mentre cercava di fuggire dal paese.
“E-Root Marketplace operava su una rete distribuita in modo ampio e prendeva misure per nascondere le identità dei suoi amministratori, acquirenti e venditori“, ha dichiarato questa settimana il Dipartimento di Giustizia degli Stati Uniti (DoJ) riguardo il gruppo Ragnar Locker.
In un’azione legale correlata, Marquis Hooper, ex responsabile IT della Marina degli Stati Uniti, è stato condannato a cinque anni e cinque mesi di prigione per aver ottenuto illegalmente le informazioni personali identificative di 9.000 cittadini americani e averle vendute sul dark web per 160.000 dollari in bitcoin.
