L’Europol ha annunciato lo smantellamento di RagnarLocker, un gruppo criminale multinazionale descritto come «una delle operazioni ransomware più pericolose» degli ultimi anni.

In una dichiarazione rilasciata venerdì, l’agenzia di polizia europea ha affermato che il gruppo è stato arrestato durante un’importante operazione, chiamata «Operazione Talpa» da parte delle autorità di polizia e giudiziarie di undici Paesi.

«Questo controllo internazionale segue una complessa indagine condotta dalla Gendarmeria Nazionale francese, insieme alle autorità di contrasto di Repubblica Ceca, Germania, Italia, Giappone, Lettonia, Paesi Bassi, Spagna, Svezia, Ucraina e Stati Uniti d’America», ha affermato Europol in una dichiarazione, aggiungendo che la prima serie di arresti nell’ambito del caso era stata effettuata in Ucraina alla fine del 2021.

La fase finale dell’operazione durata mesi si è svolta dal 16 al 20 ottobre con molteplici perquisizioni condotte in Lettonia, Spagna e Repubblica Ceca. Il presunto leader del gruppo è stato arrestato in Francia il 16 ottobre e contemporaneamente è stata perquisita la sua abitazione nella Repubblica Ceca. Poco dopo altri cinque sospettati sono stati interrogati in Spagna e Lettonia, ha rivelato Europol.

Le forze dell’ordine hanno sequestrato server e altre infrastrutture utilizzate dal gruppo nei Paesi Bassi, in Germania e in Svezia, mettendo offline il sito di leak di RagnarLocker, che si trova nel dark web.

All’operazione, che ha portato all’arresto di un informatico russo di basa a Praga, ha partecipato attivamente anche la Polizia Postale italiana. L’uomo è stato scoperto grazie a una vacanza in Italia. I dati lasciati presso una struttura dove ha soggiornato a Milano hanno permesso agli investigatori di identificarlo e attribuirgli un nome e un volto.

L’indagine condotta dagli investigatori milanesi ha preso avvio dall’analisi forense dei sistemi informatici attaccati da RagnarLocker nell’ottobre del 2020. Utilizzando anche intercettazioni telematiche transnazionali dei server controllati dal gruppo criminale, è stato possibile identificare, ricostruire e individuare l’intera infrastruttura criminale. Questa infrastruttura era protetta da un complesso sistema di anonimizzazione multilivello, sfruttando server dislocati in varie parti del mondo.

Il gruppo era attivo dal dicembre 2019 e sfruttava software di accesso remoto e amministrazione per attaccare diverse aziende e istituzioni chiedendo loro un riscatto.

Il gruppo avvertiva esplicitamente le sue vittime di non contattare alcuna autorità, diffondendo i dati rubati sul dark web nel caso in cui comunicassero alle forze dell’ordine invece di pagare il riscatto. Un’altra parte della tattica di estorsione da parte del gruppo prevedeva la richiesta di denaro alle vittime per gli strumenti di decrittazione.

Gli attacchi più importanti compiuti dal gruppo hanno coinvolto la TAP Air Portugal, la compagnia aerea di bandiera di Lisbona, alla fine del 2022, nonché un’importante clinica israeliana, l’ospedale Mayanei Hayeshua, nel settembre di quest’anno. Anche la compagnia elettrica portoghese Energias de Portugal sarebbe stata colpita nel 2019, con un leak da 10 terabyte.

In Italia aveva colpito un’azienda ospedaliera in Piemonte e altre società, tra cui un celeberrimo produttore di bevande alcoliche.

La banda operava secondo il modello Ransomware As A Service (RaaS), ed era finita nel mirino dell’FBI quando arrivò a violare 52 organizzazioni in una decina di aree differenti, pure in infrastrutture critiche come l’energia. La banda era nota per le grandi capacità di offuscamento. Secondo quanto riportato utilizzava la tecnica della doppia estorsione, che prevede un secondo ricatto pena la pubblicazione sul Dark Web dei dati esfiltrati.

In tutto, sarebbero stati accertati 168 colpi, nei quali secondo quanto riportato chiedeva da 50 a 70 milioni di dollari per la restituzione dei dati.

Il software dannoso verifica le impostazioni del sistema operativo e, nel caso identifichi una configurazione simile a quella utilizzata nei paesi dell’ex Unione Sovietica, interrompe immediatamente l’esecuzione. In caso contrario, invia una copia dei file al server principale e disabilita tutti i servizi che contengono determinate stringhe di testo.

Il malware inserisce un file contenente un’installazione di VirtualBox con un’immagine di Windows XP, all’interno della quale è incorporato il ransomware stesso, pesante solamente 49 kB. Questo sistema è configurato in modo da poter accedere ai file del computer ospite ed è avviato tramite uno script batch che avvia la macchina virtuale.

Secondo gli esperti, il malware viene creato su misura per ogni vittima. Grazie a questa tecnica, l’intero carico virale rimane confinato nel sistema virtuale. Le operazioni sui file sembrano del tutto legittime per i software di sicurezza poiché vengono eseguite attraverso l’applicazione di VirtualBox.

SOSTIENI RENOVATIO 21