Guerra cibernetica
Europol arresta grande gruppo hacker ransomware
L’Europol ha annunciato lo smantellamento di RagnarLocker, un gruppo criminale multinazionale descritto come «una delle operazioni ransomware più pericolose» degli ultimi anni.
In una dichiarazione rilasciata venerdì, l’agenzia di polizia europea ha affermato che il gruppo è stato arrestato durante un’importante operazione, chiamata «Operazione Talpa» da parte delle autorità di polizia e giudiziarie di undici Paesi.
«Questo controllo internazionale segue una complessa indagine condotta dalla Gendarmeria Nazionale francese, insieme alle autorità di contrasto di Repubblica Ceca, Germania, Italia, Giappone, Lettonia, Paesi Bassi, Spagna, Svezia, Ucraina e Stati Uniti d’America», ha affermato Europol in una dichiarazione, aggiungendo che la prima serie di arresti nell’ambito del caso era stata effettuata in Ucraina alla fine del 2021.
La fase finale dell’operazione durata mesi si è svolta dal 16 al 20 ottobre con molteplici perquisizioni condotte in Lettonia, Spagna e Repubblica Ceca. Il presunto leader del gruppo è stato arrestato in Francia il 16 ottobre e contemporaneamente è stata perquisita la sua abitazione nella Repubblica Ceca. Poco dopo altri cinque sospettati sono stati interrogati in Spagna e Lettonia, ha rivelato Europol.
Le forze dell’ordine hanno sequestrato server e altre infrastrutture utilizzate dal gruppo nei Paesi Bassi, in Germania e in Svezia, mettendo offline il sito di leak di RagnarLocker, che si trova nel dark web.
All’operazione, che ha portato all’arresto di un informatico russo di basa a Praga, ha partecipato attivamente anche la Polizia Postale italiana. L’uomo è stato scoperto grazie a una vacanza in Italia. I dati lasciati presso una struttura dove ha soggiornato a Milano hanno permesso agli investigatori di identificarlo e attribuirgli un nome e un volto.
L’indagine condotta dagli investigatori milanesi ha preso avvio dall’analisi forense dei sistemi informatici attaccati da RagnarLocker nell’ottobre del 2020. Utilizzando anche intercettazioni telematiche transnazionali dei server controllati dal gruppo criminale, è stato possibile identificare, ricostruire e individuare l’intera infrastruttura criminale. Questa infrastruttura era protetta da un complesso sistema di anonimizzazione multilivello, sfruttando server dislocati in varie parti del mondo.
Sostieni Renovatio 21
Il gruppo era attivo dal dicembre 2019 e sfruttava software di accesso remoto e amministrazione per attaccare diverse aziende e istituzioni chiedendo loro un riscatto.
Il gruppo avvertiva esplicitamente le sue vittime di non contattare alcuna autorità, diffondendo i dati rubati sul dark web nel caso in cui comunicassero alle forze dell’ordine invece di pagare il riscatto. Un’altra parte della tattica di estorsione da parte del gruppo prevedeva la richiesta di denaro alle vittime per gli strumenti di decrittazione.
Gli attacchi più importanti compiuti dal gruppo hanno coinvolto la TAP Air Portugal, la compagnia aerea di bandiera di Lisbona, alla fine del 2022, nonché un’importante clinica israeliana, l’ospedale Mayanei Hayeshua, nel settembre di quest’anno. Anche la compagnia elettrica portoghese Energias de Portugal sarebbe stata colpita nel 2019, con un leak da 10 terabyte.
In Italia aveva colpito un’azienda ospedaliera in Piemonte e altre società, tra cui un celeberrimo produttore di bevande alcoliche.
La banda operava secondo il modello Ransomware As A Service (RaaS), ed era finita nel mirino dell’FBI quando arrivò a violare 52 organizzazioni in una decina di aree differenti, pure in infrastrutture critiche come l’energia. La banda era nota per le grandi capacità di offuscamento. Secondo quanto riportato utilizzava la tecnica della doppia estorsione, che prevede un secondo ricatto pena la pubblicazione sul Dark Web dei dati esfiltrati.
In tutto, sarebbero stati accertati 168 colpi, nei quali secondo quanto riportato chiedeva da 50 a 70 milioni di dollari per la restituzione dei dati.
Il software dannoso verifica le impostazioni del sistema operativo e, nel caso identifichi una configurazione simile a quella utilizzata nei paesi dell’ex Unione Sovietica, interrompe immediatamente l’esecuzione. In caso contrario, invia una copia dei file al server principale e disabilita tutti i servizi che contengono determinate stringhe di testo.
Il malware inserisce un file contenente un’installazione di VirtualBox con un’immagine di Windows XP, all’interno della quale è incorporato il ransomware stesso, pesante solamente 49 kB. Questo sistema è configurato in modo da poter accedere ai file del computer ospite ed è avviato tramite uno script batch che avvia la macchina virtuale.
Secondo gli esperti, il malware viene creato su misura per ogni vittima. Grazie a questa tecnica, l’intero carico virale rimane confinato nel sistema virtuale. Le operazioni sui file sembrano del tutto legittime per i software di sicurezza poiché vengono eseguite attraverso l’applicazione di VirtualBox.
Iscriviti alla Newslettera di Renovatio 21
Cina
La Cina si prepara alla guerra dell’informazione creando un nuovo ramo della Difesa
Sostieni Renovatio 21
Aiuta Renovatio 21
Iscriviti alla Newslettera di Renovatio 21
Guerra cibernetica
Il governo USA voleva una backdoor per Telegram
Il governo degli Stati Uniti voleva una backdoor su Telegram per poter potenzialmente spiare i suoi utenti, ha detto il fondatore della piattaforma di social media Pavel Durov in una rara intervista concessa a Dubai al giornalista americano Tucker Carlson.
Nella densa conversazione Durov ha raccontato che l’attenzione dell’FBI è stata una delle ragioni ha abbandonato l’idea di portare la società a San Francisco, nel cuore della Silicon Valley, aggiungendo anche l’esperienza di essere assalito da tre criminali in strada appena sceso dagli uffici di Twitter dove aveva incontrato il CEO Jack Dorsey.
Nato a San Pietroburgo, Durov aveva fondato VK, la risposta russa a Facebook, insieme al fratello matematico Nikolaj. I due hanno passato alcuni anni dell’infanzia in Italia, a Torino, dove già davano prova della loro prodezza: il Nikolaj si esibì pure alla TV nazionale – immaginiamo il programma di Mike Bongiorno – come bambino prodigio che sa risolvere un’equazione di terzo grado.
Dopo traversie con il governo russo, che voleva i dati degli utenti ucraini, i fratelli hanno venduto le loro quote e riparato all’estero, dove hanno successivamente sviluppato il servizio di messaggistica social Telegram, che si descrive come uno degli strumenti di comunicazione più sicuri e protetti.
Ep. 94 The social media app Telegram has over 900 million users around the world. Its founder Pavel Durov sat down with us at his offices in Dubai for his first on-camera interview in almost a decade. pic.twitter.com/NEb3KzWOg8
— Tucker Carlson (@TuckerCarlson) April 16, 2024
Sostieni Renovatio 21
Nell’intervista il Durov spiega che l’occhio vigile dell’FBI rendeva difficile la sua permanenza in America, ha detto, con tanto di visite nel suo appartamento dove faceva colazione e apparizioni in aeroporto appena sbarcava.
«Abbiamo ricevuto troppa attenzione da parte dell’FBI, delle agenzie di sicurezza, ovunque siamo arrivati», ha detto Durov a Carlson, descrivendo l’esperienza come «allarmante».
Secondo Durov, uno dei suoi dipendenti più importanti una volta gli disse che era stato avvicinato dal governo degli Stati Uniti. «C’è stato un tentativo segreto di assumere il mio ingegnere alle mie spalle da parte degli agenti della sicurezza informatica», ha detto l’uomo d’affari.
«Stavano cercando di convincerlo a utilizzare alcuni strumenti open source che avrebbe poi integrato nel codice di Telegram che, a mio avviso, sarebbero serviti da backdoor», ha detto Durov, confermando di credere al racconto del dipendente. «Non c’è motivo per cui il mio ingegnere inventi tali storie».
Durov ha continuato dicendo che anche lui ha «sperimentato personalmente pressioni simili» in America, dove le forze dell’ordine lo hanno avvicinato in più occasioni.
Il giovane imprenditore russo non concedeva un’intervista da dieci anni. Ha spiegato di perseguire, più che la ricchezza o il lusso, la libertà personale ed imprenditoriale, e ha raccontato di essere concentrato totalmente sul suo prodotto e sulla sua azienda, di cui è il solo proprietario e capo. Durov dice di aver rifiutato il danaro dei venture capitalist per mantenere la sua totale autonomia.
Interessante il racconto di quando, ospite dell’allora CEO Dorsey, che tutta Twitter poteva essere mantenuta con venti dipendenti invece che le centinaia che vi lavoravano senza sapere nemmeno bene cosa facessero. Il Dorsey rispose che se cominciasse a licenziare le persone il titolo di Twitter alla borsa Wall Street sarebbe caduto.
Come noto, anni dopo, Elon Musk si è comprato Twitter portandola via dal mercato azionario, e di lì a poco avrebbe licenziato l’80% della forza lavoro. Il servizio offerto dalla piattaforma, ora chiamata X, sembra migliorato: bassa latenza, alta definizione per i video, etc.
Aiuta Renovatio 21
Durov ha raccontato di ignorare la maggior parte delle ingiunzioni che arrivano agli uffici di Telegram da vari enti e governi, compreso il Congresso USA che aveva mandato, dopo i fati del 6 gennaio 2021, due distinte lettere: il Congresso democratico diceva di consegnare tutti i dati dei partecipanti della protesta, altrimenti Telegram sarebbe stata in violazione della Costituzione USA; una lettera del Congresso repubblicano diceva invece che se avrebbe consegnato quei dati sarebbe stato in violazione della Costituzione USA.
Il capo di Telegram sostiene, tuttavia, che la principale pressione arriva da Apple e Google, che possono bloccare del tutto le applicazioni sui telefonini di tutto il mondo.
Come riportato da Renovatio 21, tre settimane fa il tribunale nazionale spagnolo ha ordinato ai fornitori di servizi Internet di sospendere Telegram, in attesa di un’indagine sulle accuse di violazione del copyright. Qualche mese fa il segretario del Consiglio di sicurezza e difesa nazionale dell’Ucraina aveva dichiarato che Telegram è un servizio «pericoloso». L’app, insieme a TikTok è stata vietata per «terrorismo» in Somalia. Telegram è completamento bloccato in Cina e parzialmente in Iran.
Al tempo della pandemia la Germania aveva apertamente valutato la possibilità di chiudere Telegram, unico social che – di origine russa con server negli Emirati – pareva non censurare le opinioni degli utenti come invece facevano tutte le altre piattaforme. Nel 2022, il governo tedesco ha accusato Telegram di fornire una piattaforma per negazionisti del COVID-19 e «radicali di destra» e ha persino minacciato di bloccare l’app se la società dietro di essa non avesse collaborato con Berlino e fermato la diffusione dell’incitamento all’odio e dell’estremismo. Nel 2023 la Germania ha messo in galera un uomo per aver sostenuto la Russia su Telegram.
In Italia la questione Telegram era stata posta, su altre basi, all’inizio del lockdown 2020: gli editori italiani lamentarono che esistevano sull’app alcuni canali dove si potevano scaricare gratuitamente giornali e riviste – praticamente, un angolo di pirateria diffusa. La Federazione Italiana Editori Giornali (FIEG) chiese all’Autorità per le Garanzie nelle Comunicazioni (AGCOM) di «un provvedimento esemplare e urgente di sospensione di Telegram, sulla base di un’analisi dell’incremento della diffusione illecita di testate giornalistiche sulla piattaforma che, durante la pandemia, ha raggiunto livelli intollerabili per uno Stato di diritto».
Due settimane dopo, a fine aprile 2020, Telegram, con una mossa inedita, rispose ad una mail dei giudici italiani e disattivò i canali accusati. Come scrisse trionfalmente La Repubblica: «Il primo grande risultato nella lotta alla contraffazione dell’editoria arriva nella notte da Dubai alla casella di posta elettronica della procura di Bari: “Hello, thank you for your email”, esordiscono brevemente i manager della piattaforma di messaggistica, prima di dare l’annuncio: “Abbiamo appena bloccato tutti i canali che ci avete indicato, all the best”, firmato: “Telegram Dmca”».
Iscriviti alla Newslettera di Renovatio 21
Immagine di TechCrunch via Wikimedia pubblicata su licenza Creative Commons Attribution 2.0 Generic
Guerra cibernetica
Un’altra nave portacontainer «ha perso potenza» vicino al ponte di Nuova York?
«Avevano 3 rimorchiatori di scorta, ma ne sono serviti altri 3 per tenerla sotto controllo. Hanno ripreso il potere e sono stati portati all’ancora vicino al ponte di Verrazano», ha detto a Konrad il capitano del rimorchiatore. Il Konrad ha affermato che la nave è registrata a Malta ed è di proprietà e gestita da un’importante compagnia di navigazione francese.BREAKING: A NY tugboat captain has reported to @gCaptain “container ship APL QINGDAO lost power while transiting New York harbor. They had 3 escort tugs but 3 more were needed to bring her under control. They regained power & were brought to anchor near the verrazano bridge” pic.twitter.com/Z2IP04xmLs
— John Ʌ Konrad V (@johnkonrad) April 7, 2024
The ship is registered in Malta and is owned and operated by the large French shipping company @cmacgm pic.twitter.com/susotOdB2i
— John Ʌ Konrad V (@johnkonrad) April 7, 2024
Il Konrad tuttavia sostiene di non avere ancora certezza dell’accaduto: «stiamo ancora aspettando conferma sull’accaduto». La notizia ha comunque trovato spazio nei notiziari della TV americani. Secondo la CBS la nave avrebbe perso la propulsione ma non l’energia. Aggiungendo validità al rapporto di Konrad, i dati di tracciamento AIS della nave mostrano che ha gettato l’ancora improvvisamente nella tarda notte di venerdì, appena prima del ponte sospeso. Da domenica mattina lo stato di navigazione della nave è «ancorato», riporta Zerohedge. L’incidente avviene quasi due settimane dopo che una nave portacontainer ha perso potenza e ha fatto crollare il ponte Francis Scott Key lungo 1,6 miglia a Baltimora, nel Maryland, paralizzando il porto di Baltimora. Alcuni hanno parlato del disastro come il possibile effetto di un attacco cibernetico. Altri di una sorta di «evento cigno nero» in grado di traumatizzare i mercati, la politica e l’intera popolazione.NOTE: we are still waiting for confirmation on the incident
— John Ʌ Konrad V (@johnkonrad) April 7, 2024
Iscriviti alla Newslettera di Renovatio 21
-
Salute2 settimane fa
I malori della 17ª settimana 2024
-
Ospedale2 settimane fa
«Sapevo che stavano uccidendo le persone»: un informatore afferma che i protocolli ospedalieri COVID hanno portato alla morte dei pazienti
-
Spirito2 settimane fa
Sacrifici animali fermati sul Monte del Tempio di Gerusalemme
-
Pensiero1 settimana fa
Vi augurano buona festa del lavoro, ma ve lo vogliono togliere. Ed eliminare voi e la vostra discendenza
-
Pensiero1 settimana fa
I biofascisti contro il fascismo 1.0: ecco la patetica commedia dell’antifascismo
-
Cina7 giorni fa
Cina, nel 2024 calano i profitti per il settore delle terre rare
-
Bioetica6 giorni fa
Medico argentino incarcerato per essersi rifiutato di praticare un aborto
-
Spirito2 settimane fa
Mons. Viganò: omelia per le Rogazioni contro il cancro conciliare