Un’operazione avviata nel maggio del 2021 che ha coinvolto le autorità di Repubblica Ceca, Francia, Germania, Italia, Giappone, Lettonia, Paesi Bassi, Spagna, Svezia, Ucraina e Stati Uniti con il sostegno della Joint Cybercrime Action Taskforce (J-CAT). È l’ultima operazione messa a segno dall’Europol, questa volta ai danni del collettivo di cybercriminali che hanno realizzato e sfruttato il ransomware Ragnar Locker.
La particolarità del malware risiedeva nel fatto che effettuava dapprima un controllo del sistema operativo e, solo una volta appurato che non avesse un layout della tastiera o la lingua del sistema operativo coerente con quella dei Paesi dell’ex URSS, procedeva con l’esecuzione installando una virtual box contenente il file infetto che il più delle volte eseguiva comandi RDP ritenuti “legittimi” dagli antivirus.
Apparso per la prima volta nel dicembre del 2019 con l’attacco al gruppo Energias de Portugal (EDP), nonostante fosse presente da pochi anni il ransomware in questione aveva mietuto vittime eccellenti.
Sono stati ricostruiti attacchi ad almeno 160 aziende a livello globale, con riscatti che oscillavano tra i 5 ed i 70 milioni di dollari. In Italia il gruppo si è reso responsabile dell’attacco all’Azienda Ospedaliera di Alessandria, alla Campari e alla Dollmar, mentre l’ultima azione in assoluto di cui si ha traccia risale a soli 10 giorni fa ai danni di una compagnia inglese.
Ogni volta che il malware andava a bersaglio, i cybercriminali contattavano le aziende in questione mettendoli in guardia dal rivolgersi alle forze dell’ordine, avvisandoli del fatto che tutto ciò che i negoziatori del FBI o delle altre forze di polizia potessero fare, qualora contattati, sarebbe stato di incasinare le cose e che quindi era meglio non contattare nessuno, diversamente avrebbero pubblicato in un “wall of shame” sul darkweb i contenuti esfiltrati.
Dopo che Eurojust aveva aperto il caso su input dell’autorità giudiziaria francese, già tra il 2021 ed il 2022 erano stati arrestati in Ucraina e Canada alcuni membri accusati di far parte del gruppo; con questa operazione condotta tra il 16 e 20 ottobre sono stati smantellati i vertici dell’organizzazione: sono stati arrestati lo sviluppatore, un cittadino russo trentacinquenne fermato all’aeroporto di Parigi, e 5 membri del gruppo, oltre al sequestro di server in Olanda, Svezia e Germania.
