Smantellata rete di criminalità informatica guidata dalla Russia

 Gli investigatori europei e nordamericani specializzati in reati informatici affermano di aver smantellato il cuore di un'operazione malware condotta da criminali russi, dopo un'operazione globale che ha coinvolto la polizia britannica, canadese, danese, olandese, francese, tedesca e statunitense.
Sono stati emessi mandati di arresto internazionali nei confronti di 20 sospettati, la maggior parte dei quali residenti in Russia , da parte di investigatori europei, mentre negli Stati Uniti sono stati desecretati gli atti di accusa nei confronti di 16 individui.

Tra gli accusati figurano i presunti leader delle operazioni malware Qakbot e Danabot, tra cui Rustam Rafailevich Gallyamov, 48 anni, residente a Mosca, e Aleksandr Stepanov, 39 anni, noto anche come JimmBee, e Artem Aleksandrovich Kalinkin, 34 anni, noto anche come Onix, entrambi di Novosibirsk, Russia, ha affermato il Dipartimento di Giustizia degli Stati Uniti.

Gli attacchi informatici volti a destabilizzare i governi o a semplici furti e ricatti stanno diventando sempre più perniciosi. La catena di negozi Marks & Spencer è una delle vittime più note e recenti nel Regno Unito questo mese.

Gli europei, guidati dall'agenzia tedesca per la lotta alla criminalità, Bundeskriminalamt (BKA), hanno lanciato appelli pubblici nel tentativo di rintracciare 18 sospettati ritenuti coinvolti nella famiglia di malware Qakbot e in un terzo malware noto come Trickbot.

Il BKA e le sue controparti internazionali hanno affermato che la maggior parte dei sospettati erano cittadini russi. Il cittadino russo Vitalii Nikolayevich Kovalev , 36 anni, già ricercato negli Stati Uniti, è uno dei più ricercati dal BKA.

Sarebbe lui l'ideatore di Conti, considerato il gruppo di ricatti ransomware più professionale e meglio organizzato al mondo, mentre Kovalev è stato descritto dagli investigatori tedeschi come uno dei "ricattatori di maggior successo nella storia della criminalità informatica".

Utilizzando gli pseudonimi Stern e Ben, BKA sostiene di aver attaccato centinaia di aziende in tutto il mondo e di aver ottenuto da loro ingenti pagamenti di riscatto.

Si ritiene che Kovolev, 36 anni, di Volgorod, viva a Mosca, dove diverse aziende sono registrate a suo nome. È stato identificato dagli investigatori statunitensi nel 2023 come membro di Trickbot.

Gli inquirenti ora ritengono che fosse anche a capo di Conti e di altri gruppi di ricatto, come Royal e Blacksuit (fondati nel 2022). Si dice che il suo portafoglio crittografico valga circa 1 miliardo di euro.

Il BKA ha dichiarato, insieme ai partner internazionali, che dei 37 autori identificati avevano prove sufficienti per emettere 20 mandati di arresto.
Nello stesso periodo, la procura degli Stati Uniti in California ha reso pubblici i dettagli delle accuse contro 16 imputati che avrebbero "sviluppato e distribuito il malware DanaBot".

Le infiltrazioni criminali nei computer delle vittime sono state "controllate e messe in atto" da un'organizzazione di criminalità informatica con sede in Russia che ha infettato più di 300.000 computer in tutto il mondo, in particolare negli Stati Uniti, in Australia, Polonia, India e Italia.

È stato pubblicizzato su forum criminali in lingua russa e, come si legge nell'atto d'accusa, conteneva anche una "variante di spionaggio utilizzata per colpire organizzazioni militari, diplomatiche, governative e non governative".

Per questa variante sono stati installati server separati, in modo che i dati rubati alle vittime venissero infine archiviati nella Federazione Russa.
Secondo il BKA, nella lista dei più ricercati in Europa a seguito dell'operazione tedesca c'è anche Roman Mikhailovich Prokop, un ucraino russofono di 36 anni, sospettato di essere un membro di Qakbot.

L'operazione Endgame è stata avviata dalle autorità tedesche nel 2022. Il presidente del BKA, Holger Münch, ha affermato che la Germania è particolarmente presa di mira dai criminali informatici.

In particolare, la BKA sta indagando sul coinvolgimento dei presunti autori in attività legate a bande criminali e estorsioni commerciali, nonché sulla loro appartenenza a un'organizzazione criminale con sede all'estero.

Tra il 2010 e il 2022, il gruppo Conti si è concentrato specificamente sugli ospedali statunitensi, intensificando gli attacchi durante la pandemia di Covid. Le autorità statunitensi avevano offerto una ricompensa di 10 milioni di dollari a chiunque li avesse condotti ai suoi vertici.

La maggior parte dei sospettati opera in Russia, alcuni anche a Dubai. La loro estradizione in Europa o negli Stati Uniti era improbabile, ha detto Münch, ma la loro identificazione è stata significativa e dannosa per loro.
Con Operation Endgame 2.0 abbiamo dimostrato ancora una volta che le nostre strategie funzionano, anche nel darknet, che si suppone sia anonimo.

(Lisa O'Carroll e Kate Connolly su The Guardian del 23/05/2025)