Con una maxi operazione internazionale che ha visto impegnati 11 paesi, nome in codice Cronos, è stata sgominata una delle più grandi gang di cybercriminali, i filorussi Lockbit, che servendosi del ransomware ha preso di mira oltre 2.000 vittime in tutto il mondo, anche in Italia, e ha incassato più di 120 milioni di dollari in riscatti. Gli hacker avevano messo in piedi una vera e propria organizzazione criminale piramidale che ha colpito istituzioni, banche, assicurazioni e ospedali, paralizzando le infrastrutture.
L'operazione è stata condotta dalla National crime agency (Nca) del Regno Unito con l'Fbi americana e la collaborazione di forze di polizia di altri nove Paesi: Francia, Giappone, Svizzera, Canada, Australia, Svezia, Olanda, Finlandia e Germania, oltre all'Europol. Ha portato all'arresto di due membri della banda in Polonia e Ucraina e al sequestro di centinaia di portafogli crittografici utilizzati dal gruppo. Le autorità hanno anche preso il controllo del sito usato dal gruppo sul dark web. Un portavoce della gang ha contatto su Telegram Reuters - è riportato dal sito dell'agenzia - e avrebbe riferito come Lockbit abbia una copia di tutti i dati ottenuti dalla polizia, così da poterli replicare altrove.
Originaria dell'Europa orientale, da quando è nata nel 2019, la gang Lockbit si è strutturata come una vera e propria organizzazione criminale piramidale. La banda ha guadagnato rubando dati sensibili e minacciando di divulgarli se le vittime non avessero pagato un riscatto in criptovaluta, avvalendosi così del meccanismo della doppia estorsione, soldi e reputazione. Il suo modello di business in gergo si chiama Ransom-as-Service (RaaS): dopo aver sviluppato un sistema di cyber attacchi lo vendeva come un servizio traendo profitto anche da un quadro di affiliazione. I criminali informatici hanno preso di mira duemila vittime e guadagnato oltre 120 milioni dai riscatti, secondo le autorità americane. In Italia, l'ultimo attacco è stato sferrato a novembre scorso quando è stata colpita Wetspole, un'azienda che fornisce servizi cloud a più di mille siti della nostra Pubblica amministrazione. Ma nel mirino sarebbero finite anche Regione Lazio e Acea. Secondo l'Agenzia nazionale per la cybersicurezza, Lockbit è tra le gang più attive nei cyber attacchi del nostro paese insieme ai gruppi Conti e AlphaVm.
"L'operazione ha sicuramente importanti ripercussioni sull'ecosistema criminale - spiega all'ANSA Pierluigi Paganini, professore di Cybersecurity presso l'Università Luiss Guido Carli - Certamente la distruzione di una operazione che utilizza un modello Ransomware-as-Service porterà ad una migrazione della rete di affiliati verso altri gruppi ransomware. Relativamente agli arresti, qualora siano a piede libero figure chiavi dell' organizzazione potremo assistere alla nascita di nuovi gruppi. Altro rischio è che il gruppo di sviluppo dietro il ransomware possa decidere di rilasciare il codice sorgente del malware o venderlo a terze parti consentendo la nascita di nuove minacce che usano il decryptor di Lockbit", conclude l'esperto.
Riproduzione riservata © Copyright ANSA