UE sanziona "Stern", il capo di Trickbot: 300 milioni di dollari in riscatti
Il 13 luglio 2026, Stati Uniti, Unione Europea e Regno Unito hanno annunciato un pacchetto coordinato di sanzioni contro una vasta rete di hacker, cybercriminali e i loro fiancheggiatori. Al centro dell'azione figura Vitaly Nikolayevich Kovalev, cittadino russo noto online con lo pseudonimo "Stern", designato dall'UE come amministratore del sindacato criminale Trickbot: i portafogli digitali a lui riconducibili hanno ricevuto oltre 300 milioni di dollari in pagamenti di riscatto. Come riporta Cryptopolitan, si tratta della prima volta in assoluto che un organismo sanzionatorio europeo associa esplicitamente il soprannome "Stern" a Kovalev.
Kovalev era già stato sanzionato nel febbraio 2023 dall'Ufficio per il controllo dei beni esteri del Tesoro statunitense (OFAC) e dall'omologo britannico (OFSI), ma in quelle liste compariva sotto gli pseudonimi "Ben" e "Bentley". Nel maggio 2025, la polizia federale tedesca BKA lo aveva identificato pubblicamente come il volto dietro "Stern", seguito dall'emissione di un avviso rosso dell'Interpol. Con la designazione europea del 13 luglio, il numero totale di membri di Trickbot colpiti da sanzioni sale a 19.
Secondo l'UE, Kovalev era un figura di vertice, di fatto un "amministratore delegato", dei gruppi Trickbot e Conti. Oltre 300.000 messaggi interni trapelati nel 2022 da un membro del gruppo rivelano che esercitava pieno controllo sul budget, sulle assunzioni e sulla pianificazione degli attacchi. L'organizzazione contava più di 100 persone, disponeva di uffici fisici e pagava i propri componenti in bitcoin, bonus mensili compresi. Il gruppo ha colpito oltre 1.000 organizzazioni in tutto il mondo, tra cui il Servizio sanitario nazionale irlandese durante la pandemia di COVID-19 nel maggio 2021, la gioielleria Graff e numerosi ospedali e banche negli Stati Uniti e in Europa. Si stima che solo nel 2021 siano stati incassati circa 180 milioni di dollari.
I 300 milioni di dollari riconducibili ai portafogli di Stern rappresentano però soltanto la sua quota personale dei proventi: il bottino complessivo di Trickbot nel corso degli anni è sensibilmente superiore. L'analisi della blockchain collega Kovalev a numerose famiglie di ransomware, tra cui Ryuk, Conti, Diavol, Karakurt, Royal, 3am, Quantum e Bitpaymer.
Le sanzioni non si limitano a Kovalev. L'UE ha inserito nelle liste anche gli sviluppatori del malware per furto di dati LummaC2, Maksim Voronin e Maksim Gordienko, la cui piattaforma è stata tra le più diffuse al mondo nel 2024 e nel 2025 prima dello smantellamento operato nel maggio 2025 dal Dipartimento di Giustizia americano, da Europol e dal Centro giapponese per il contrasto alla criminalità informatica. Figurano inoltre il fornitore di servizi di cifratura Yevgeniy Silayev, il servizio di hosting "a prova di sequestro" Media Land LLC, l'Unità 29155 del GRU russo e i gruppi hacktivisti filo-russi CARR e Z-Pentest. Parallelamente, l'OFAC statunitense ha colpito il servizio VPN First VPN Service (1VPNS) e il suo amministratore Dmytro Rashevskyi, la cui infrastruttura era già stata smantellata dalle autorità europee nel maggio 2026 con il supporto dell'ufficio FBI di Boston.
L'azione congiunta segna anche un primato istituzionale: è la prima volta che UE e Regno Unito adottano sanzioni informatiche in modo simultaneo nell'ambito dei rispettivi regimi nazionali, a sottolineare l'impegno condiviso nel contrastare le attività informatiche malevole di matrice russa.