Guerra cibernetica
Europol arresta grande gruppo hacker ransomware
L’Europol ha annunciato lo smantellamento di RagnarLocker, un gruppo criminale multinazionale descritto come «una delle operazioni ransomware più pericolose» degli ultimi anni.
In una dichiarazione rilasciata venerdì, l’agenzia di polizia europea ha affermato che il gruppo è stato arrestato durante un’importante operazione, chiamata «Operazione Talpa» da parte delle autorità di polizia e giudiziarie di undici Paesi.
«Questo controllo internazionale segue una complessa indagine condotta dalla Gendarmeria Nazionale francese, insieme alle autorità di contrasto di Repubblica Ceca, Germania, Italia, Giappone, Lettonia, Paesi Bassi, Spagna, Svezia, Ucraina e Stati Uniti d’America», ha affermato Europol in una dichiarazione, aggiungendo che la prima serie di arresti nell’ambito del caso era stata effettuata in Ucraina alla fine del 2021.
La fase finale dell’operazione durata mesi si è svolta dal 16 al 20 ottobre con molteplici perquisizioni condotte in Lettonia, Spagna e Repubblica Ceca. Il presunto leader del gruppo è stato arrestato in Francia il 16 ottobre e contemporaneamente è stata perquisita la sua abitazione nella Repubblica Ceca. Poco dopo altri cinque sospettati sono stati interrogati in Spagna e Lettonia, ha rivelato Europol.
Le forze dell’ordine hanno sequestrato server e altre infrastrutture utilizzate dal gruppo nei Paesi Bassi, in Germania e in Svezia, mettendo offline il sito di leak di RagnarLocker, che si trova nel dark web.
All’operazione, che ha portato all’arresto di un informatico russo di basa a Praga, ha partecipato attivamente anche la Polizia Postale italiana. L’uomo è stato scoperto grazie a una vacanza in Italia. I dati lasciati presso una struttura dove ha soggiornato a Milano hanno permesso agli investigatori di identificarlo e attribuirgli un nome e un volto.
L’indagine condotta dagli investigatori milanesi ha preso avvio dall’analisi forense dei sistemi informatici attaccati da RagnarLocker nell’ottobre del 2020. Utilizzando anche intercettazioni telematiche transnazionali dei server controllati dal gruppo criminale, è stato possibile identificare, ricostruire e individuare l’intera infrastruttura criminale. Questa infrastruttura era protetta da un complesso sistema di anonimizzazione multilivello, sfruttando server dislocati in varie parti del mondo.
Sostieni Renovatio 21
Il gruppo era attivo dal dicembre 2019 e sfruttava software di accesso remoto e amministrazione per attaccare diverse aziende e istituzioni chiedendo loro un riscatto.
Il gruppo avvertiva esplicitamente le sue vittime di non contattare alcuna autorità, diffondendo i dati rubati sul dark web nel caso in cui comunicassero alle forze dell’ordine invece di pagare il riscatto. Un’altra parte della tattica di estorsione da parte del gruppo prevedeva la richiesta di denaro alle vittime per gli strumenti di decrittazione.
Gli attacchi più importanti compiuti dal gruppo hanno coinvolto la TAP Air Portugal, la compagnia aerea di bandiera di Lisbona, alla fine del 2022, nonché un’importante clinica israeliana, l’ospedale Mayanei Hayeshua, nel settembre di quest’anno. Anche la compagnia elettrica portoghese Energias de Portugal sarebbe stata colpita nel 2019, con un leak da 10 terabyte.
In Italia aveva colpito un’azienda ospedaliera in Piemonte e altre società, tra cui un celeberrimo produttore di bevande alcoliche.
La banda operava secondo il modello Ransomware As A Service (RaaS), ed era finita nel mirino dell’FBI quando arrivò a violare 52 organizzazioni in una decina di aree differenti, pure in infrastrutture critiche come l’energia. La banda era nota per le grandi capacità di offuscamento. Secondo quanto riportato utilizzava la tecnica della doppia estorsione, che prevede un secondo ricatto pena la pubblicazione sul Dark Web dei dati esfiltrati.
In tutto, sarebbero stati accertati 168 colpi, nei quali secondo quanto riportato chiedeva da 50 a 70 milioni di dollari per la restituzione dei dati.
Il software dannoso verifica le impostazioni del sistema operativo e, nel caso identifichi una configurazione simile a quella utilizzata nei paesi dell’ex Unione Sovietica, interrompe immediatamente l’esecuzione. In caso contrario, invia una copia dei file al server principale e disabilita tutti i servizi che contengono determinate stringhe di testo.
Il malware inserisce un file contenente un’installazione di VirtualBox con un’immagine di Windows XP, all’interno della quale è incorporato il ransomware stesso, pesante solamente 49 kB. Questo sistema è configurato in modo da poter accedere ai file del computer ospite ed è avviato tramite uno script batch che avvia la macchina virtuale.
Secondo gli esperti, il malware viene creato su misura per ogni vittima. Grazie a questa tecnica, l’intero carico virale rimane confinato nel sistema virtuale. Le operazioni sui file sembrano del tutto legittime per i software di sicurezza poiché vengono eseguite attraverso l’applicazione di VirtualBox.
Iscriviti alla Newslettera di Renovatio 21
Sostieni Renovatio 21
Iscriviti alla Newslettera di Renovatio 21
Numerosi aeroporti europei di rilievo hanno subito disagi nei sistemi di check-in e imbarco elettronico, causando cancellazioni e ritardi dei voli durante il fine settimana. Secondo vari resoconti della stampa internazionale, il problema è stato attribuito a un attacco informatico al fornitore del servizio.
Tra gli aeroporti coinvolti ci sono l’aeroporto di Heathrow a Londra, oltre a quelli di Berlino e Bruxelles. Il quotidiano britannico Guardian ha riferito che, in queste tre città, settantatré voli sono stati cancellati in meno di due giorni.
Solo a Heathrow, domenica mattina, oltre 130 voli risultavano in ritardo, secondo il rapporto, che aggiunge come l’aeroporto di Bruxelles abbia dovuto posticipare tutti gli 80 voli previsti per la prima metà di domenica. Anche gli aeroporti di Dublino e Cork, in Irlanda, sono stati colpiti, come riportato dall’AFP.
Sostieni Renovatio 21
I problemi sono iniziati venerdì sera e sono continuati fino a domenica. L’aeroporto di Brusselle ha avvertito che ritardi e cancellazioni sono previsti anche per lunedì. L’incidente è stato attribuito a un «attacco informatico alla società americana Collins Aerospace, fornitore esterno di sistemi di check-in e imbarco», si legge in una nota dell’aeroporto, che precisa come «non sia ancora chiaro quando il problema verrà risolto».
La società ha confermato l’episodio all’AFP sabato, dichiarando di essere «venuta a conoscenza di un’interruzione informatica del nostro software MUSE in aeroporti selezionati».
Le interruzioni hanno riguardato esclusivamente i servizi elettronici, mentre il check-in manuale e il deposito bagagli sono rimasti operativi. Gli aeroporti hanno informato i passeggeri sui tempi di attesa più lunghi, invitandoli a controllare in anticipo lo stato dei voli.
Non è ancora chiaro chi possa essere responsabile dell’attacco informatico, poiché nessun gruppo ha rivendicato l’azione o avanzato richieste. L’agenzia Reuters ha riportato che Collins Aerospace era stata colpita da hacker in cerca di riscatto nel 2023, citando vari siti web di hacking. L’azienda non ha risposto alle richieste di commento dell’agenzia di stampa.
Come riportato da Renovatio 21, ad inizio 2023, diversi aeroporti nel mondo, specialmente in Germania avevano subito un attacco hacker. Qualcuno ricorderò che era successo anche all’intero sistema informatico della Sanità del Lazio durante il roll out della campagna vaccinale.
I lettori di Renovatio 21 possono inoltre ricordare le ipotesi riportate da questo sito all’altezza del grande shutdown dell’intero sistema di aviazione americana di due anni fa, quando, per la prima volta dall’11 settembre, tutti gli aerei furono lasciati a terra. Era l’11 gennaio 2023. L’incidente era stato preceduto da uno del tutto simile nelle Filippine e seguito dalla medesima situazione in Canada.
Fu ipotizzato che sotto poteva esserci un gruppo di hacker (di Stato o meno) che ha lanciato un attacco ransomware, ossia che blocca i computer attaccati chiedendo danaro per liberarli. Alcuni osservatori, dunque, dissero che se fosse stato così – mentre la versione ufficiale di Washington parlava di un semplice disguido a causa un tecnico che aveva digitato male su una tastiera – allora la situazione poteva leggersi in un possibile aumento del prezzo del Bitcoin.
I ciberguastatori dei ransomware, infatti, si fanno solitamente pagare in Bitcoin. Ci sono in ogni Paese enormi esempi di enti pubblici e privati che hanno pagato quello che era richiesto, e basta. Quando c’è un’immensa richiesta di quantità Bitcoin, il suo prezzo sale. Ed è stato proprio così. Il prezzo del Bitcoin è salito da 17 mila dollari e rotti agli oltre 22 dei giorni successivi.
Aiuta Renovatio 21
Non è chiaro cosa sia accaduto qui. L’incomprensibilità di natura e origine attacco è una cifra (tremenda davvero) della guerra cibernetica in sé, da anni definita come un ulteriore campo di battaglia – terra, mare, aria, spazio e, appunto, reti telematiche globali.
L’infrastruttura dell’aviazione, che è di per sé fragile visto che fa volare a velocità immense milioni di persone ogni giorno, pare sempre più aperta ad attacchi esiziali, a stragi immani – se non a blocchi che possono compromettere l’economia di interi Paesi. Ciò proietta questo tipo di episodi nella dimensione del conflitto geopolitico odierno.
Come riportato da Renovatio 21, i voli aerei sono messi a rischio anche dal fenomeno dello spoofing, una modalità di hacking interrompe che il sistema di navigazione computerizzato di un aereo, il che può far sì che il pilota voli pericolosamente fuori rotta o a una quota non effettiva, in base ai dati falsi ricevuti dal computer di navigazione del pilota automatico.
Iscriviti alla Newslettera di Renovatio 21
Guerra cibernetica
La repressione della pirateria provoca diffuse interruzioni di Internet in tutta la Spagna
Sostieni Renovatio 21
Iscriviti alla Newslettera di Renovatio 21
Tesla supera Mercedes nelle vendite
Candace Owens pubblica i presunti messaggi di Charlie Kirk: «vedo il cattolicesimo in maniera sempre migliore»
Arrestato in Russia israelo-ucraino presunto capo di una rete di traffico degli organi
Paracetamolo, Big Pharma e FDA erano da anni a conoscenza del rischio autismo
IOR e APSA, papa Leone riforma le controverse regole della banca vaticana stabilite da Bergoglio
Impronta genetica del vaccino COVID nel DNA di un paziente oncologico: l’mRNA può integrarsi con il genoma umano
Charlie Kirk, strategia della tensione e inferno sulla Terra
La sodomia come «idolatria indiretta». Mons. Schneider: il «pellegrinaggio LGBT» è un «abominio» che richiede «riparazione pubblica» di Leone
Documentario rivela lo studio bomba sul collegamento tra vaccino ed epidemia di malattie croniche
Vaccino e cancro, ricercatori italiani scoprono che il siero COVID è collegato a un forte aumento dei tumori
Il presidente dell’Ecuador sopravvive a un «tentativo di assassinio»: le immagini
Violenti scontri in Siria
Centinaia di persone intrappolate sull’Everest. Tre persone uccise dai fulmini
Il palazzo presidenziale georgiano assaltato dai manifestanti pro UE: le immagini
Tifone provoca 51 morti in Vietnam: le immagini
-
Morte cerebrale2 settimane faLa «morte cerebrale» è stata inventata per prelevare più organi
-
Arte2 settimane fa
Quadro su San Simonino da Trento, chiesti sei mesi di carcere per il pittore Gasparro
-
Persecuzioni5 giorni fa
Il ministro israeliano Katz: suore e clero cristiano saranno considerati terroristi se non lasceranno Gaza
-
Politica2 settimane fa
Il regista russo Tigran Keosayan muore all’età di 59 anni. Era il marito della temutissima Margarita Simonyan
-
Immigrazione1 settimana fa
Mons. Viganò: storia delle migrazioni di massa come ingegneria sociale
-
Civiltà1 settimana fa
La lingua russa, l’amicizia fra i popoli, la civiltà
-
Salute2 settimane fa
I malori della 39ª settimana
-
Autismo1 settimana fa
Ecco il possibile farmaco per l’autismo: che cos’è il Leucovorin?
