Connettiti con Renovato 21

Guerra cibernetica

Europol arresta grande gruppo hacker ransomware

Pubblicato

2 anni fa

il

L’Europol ha annunciato lo smantellamento di RagnarLocker, un gruppo criminale multinazionale descritto come «una delle operazioni ransomware più pericolose» degli ultimi anni.

 

In una dichiarazione rilasciata venerdì, l’agenzia di polizia europea ha affermato che il gruppo è stato arrestato durante un’importante operazione, chiamata «Operazione Talpa» da parte delle autorità di polizia e giudiziarie di undici Paesi.

 

«Questo controllo internazionale segue una complessa indagine condotta dalla Gendarmeria Nazionale francese, insieme alle autorità di contrasto di Repubblica Ceca, Germania, Italia, Giappone, Lettonia, Paesi Bassi, Spagna, Svezia, Ucraina e Stati Uniti d’America», ha affermato Europol in una dichiarazione, aggiungendo che la prima serie di arresti nell’ambito del caso era stata effettuata in Ucraina alla fine del 2021.

 

La fase finale dell’operazione durata mesi si è svolta dal 16 al 20 ottobre con molteplici perquisizioni condotte in Lettonia, Spagna e Repubblica Ceca. Il presunto leader del gruppo è stato arrestato in Francia il 16 ottobre e contemporaneamente è stata perquisita la sua abitazione nella Repubblica Ceca. Poco dopo altri cinque sospettati sono stati interrogati in Spagna e Lettonia, ha rivelato Europol.

 

Le forze dell’ordine hanno sequestrato server e altre infrastrutture utilizzate dal gruppo nei Paesi Bassi, in Germania e in Svezia, mettendo offline il sito di leak di RagnarLocker, che si trova nel dark web.

 

All’operazione, che ha portato all’arresto di un informatico russo di basa a Praga, ha partecipato attivamente anche la Polizia Postale italiana. L’uomo è stato scoperto grazie a una vacanza in Italia. I dati lasciati presso una struttura dove ha soggiornato a Milano hanno permesso agli investigatori di identificarlo e attribuirgli un nome e un volto.

 

L’indagine condotta dagli investigatori milanesi ha preso avvio dall’analisi forense dei sistemi informatici attaccati da RagnarLocker nell’ottobre del 2020. Utilizzando anche intercettazioni telematiche transnazionali dei server controllati dal gruppo criminale, è stato possibile identificare, ricostruire e individuare l’intera infrastruttura criminale. Questa infrastruttura era protetta da un complesso sistema di anonimizzazione multilivello, sfruttando server dislocati in varie parti del mondo.

Sostieni Renovatio 21

Il gruppo era attivo dal dicembre 2019 e sfruttava software di accesso remoto e amministrazione per attaccare diverse aziende e istituzioni chiedendo loro un riscatto.

 

Il gruppo avvertiva esplicitamente le sue vittime di non contattare alcuna autorità, diffondendo i dati rubati sul dark web nel caso in cui comunicassero alle forze dell’ordine invece di pagare il riscatto. Un’altra parte della tattica di estorsione da parte del gruppo prevedeva la richiesta di denaro alle vittime per gli strumenti di decrittazione.

 

Gli attacchi più importanti compiuti dal gruppo hanno coinvolto la TAP Air Portugal, la compagnia aerea di bandiera di Lisbona, alla fine del 2022, nonché un’importante clinica israeliana, l’ospedale Mayanei Hayeshua, nel settembre di quest’anno. Anche la compagnia elettrica portoghese Energias de Portugal sarebbe stata colpita nel 2019, con un leak da 10 terabyte.

 

In Italia aveva colpito un’azienda ospedaliera in Piemonte e altre società, tra cui un celeberrimo produttore di bevande alcoliche.

 

La banda operava secondo il modello Ransomware As A Service (RaaS), ed era finita nel mirino dell’FBI quando arrivò a violare 52 organizzazioni in una decina di aree differenti, pure in infrastrutture critiche come l’energia. La banda era nota per le grandi capacità di offuscamento. Secondo quanto riportato utilizzava la tecnica della doppia estorsione, che prevede un secondo ricatto pena la pubblicazione sul Dark Web dei dati esfiltrati.

 

In tutto, sarebbero stati accertati 168 colpi, nei quali secondo quanto riportato chiedeva da 50 a 70 milioni di dollari per la restituzione dei dati.

 

Il software dannoso verifica le impostazioni del sistema operativo e, nel caso identifichi una configurazione simile a quella utilizzata nei paesi dell’ex Unione Sovietica, interrompe immediatamente l’esecuzione. In caso contrario, invia una copia dei file al server principale e disabilita tutti i servizi che contengono determinate stringhe di testo.

 

Il malware inserisce un file contenente un’installazione di VirtualBox con un’immagine di Windows XP, all’interno della quale è incorporato il ransomware stesso, pesante solamente 49 kB. Questo sistema è configurato in modo da poter accedere ai file del computer ospite ed è avviato tramite uno script batch che avvia la macchina virtuale.

 

Secondo gli esperti, il malware viene creato su misura per ogni vittima. Grazie a questa tecnica, l’intero carico virale rimane confinato nel sistema virtuale. Le operazioni sui file sembrano del tutto legittime per i software di sicurezza poiché vengono eseguite attraverso l’applicazione di VirtualBox.

Iscriviti alla Newslettera di Renovatio 21

SOSTIENI RENOVATIO 21



 

 

 

Argomenti correlati:
Continua a leggere

Guerra cibernetica

«Grandi palle», membro DOGE, picchiato in istrada di notte da giovinastri, ma ha salvato una ragazza

Pubblicato

1 mese fa

il

7 Agosto 2025

Da

Edward Coristine, membro dello staff del DOGE – il dipartimento di revisione e taglio della spesa pubblica inventato da Elone Musk ad inizio dell’amministrazione Trump – è noto al mondo per il soprannome «Big Balls», cioè «Grandi Palle», che si era dato da ragazzino (pochi anni fa: è 19enne) da qualche parte su internet, e che si è ritrovato appiccicato addosso per sempre una volta che la stampa dell’establishment lo ha scoperto.   «Big Balls», nomen omen, è intervenuto eroicamente per sventare un tentativo di furto d’auto e aggressione a mani nude a Washington poche notti fa, ma è stato picchiato da un gruppo di adolescenti criminali, la cui origine etnica non è nota.   Secondo un rapporto del dipartimento di Polizia Metropolitana di Washington, D.C., l’aggressione a Coristine è avvenuta intorno alle 3 del mattino di domenica, mentre si trovava vicino al suo veicolo con una donna. Il Coristine ha notato gli aggressori avvicinarsi e, preoccupato per l’incolumità della compagna, l’ha spinta dentro il veicolo prima di affrontare personalmente i sospettati.  

Sostieni Renovatio 21

Lo scontro si è concluso con l’arrivo di un’auto della Polizia di Washington, costringendo i sospettati alla fuga. La polizia ha arrestato due persone sul posto, mentre Coristine ha richiesto l’intervento medico dei Vigili del Fuoco e del Servizio di Emergenza Sanitaria di Washington per le ferite riportate durante l’aggressione.   I sospettati, entrambi quindicenni di Hyattsville, Maryland, sono accusati di furto d’auto a mani nude.   In risposta all’attacco, il presidente Trump ha minacciato un’occupazione federale della capitale per frenare la criminalità inarrestabile.   Scherzato per il suo nickname – un tentativo della stampa mainstream di degradare il progetto muskiano del DOGE – il giovane ha in realtà un passato famigliare non privo di interesse storico. Suo padre è Charles Coristine, CEO dell’azienda di snack LesserEvil. Suo nonno materno, Valerij Martynov, era un tenente colonnello del KGB giustiziato dall’Unione Sovietica come agente doppio. Dopo la sua esecuzione, la vedova si trasferì con i suoi figli, tra cui la madre di Coristine, negli Stati Uniti.   La stampa lo ha attaccato perché attivo nelle comunità online note come «The Com», una rete di canali Discord e Telegram associati ad attività di criminalità informatica.     Il Big Balls, che in teoria è ancora studente universitario di ingegneria meccanica e fisica. La sua laurea dovrebbe arrivare nel 2028. Il suo curriculum è già pieno di roba: ha lavorato per l’azienda di chip cerebrali di Musk Neuralink, nonché per società di Cybersecurity, prima di divenire il più giovane membro del DOGE. Sarebbe ora anche advisor dell’Homeland Security (o DHS, il dipartimento di Sicurezza Nazionale creato dopo l’11 settembre) e membro dello staff della CISA (Cybersecurity and Infrastructure Security Agency) componente del DHS responsabile della sicurezza informatica e della protezione delle infrastrutture a tutti i livelli di governo, coordinando i programmi di sicurezza informatica con gli stati degli Stati Uniti e migliorando le protezioni di sicurezza informatica del governo contro gli hacker privati e degli stati nazionali.   «Big Balls è un eroe per aver pensato rapidamente, aver salvato la sua compagna da un destino terribile e aver sopportato il peso di un brutale pestaggio» ha scritto Tucker Carlson riguardo all’aggressione subita di recente, e alla eroica difesa della donna che era con lui. «Domenica, il diciannovenne si è guadagnato il diritto di portare il pesante fardello di un soprannome così potente. Gli auguriamo una pronta guarigione».

Iscriviti alla Newslettera di Renovatio 21

SOSTIENI RENOVATIO 21
Immagine da Twitter  
 
Continua a leggere

Guerra cibernetica

Deputato russo denuncia: USA e britannici dietro l’attacco informatico ad Aeroflot

Pubblicato

1 mese fa

il

5 Agosto 2025

Da

Un alto parlamentare russo ha affermato che i servizi segreti statunitensi e britannici sarebbero dietro al grave attacco informatico della scorsa settimana che ha interrotto le operazioni di Aeroflot e di altre aziende russe all’inizio di questa settimana.

 

Andrej Svintsov, vicepresidente del Comitato per la politica dell’informazione della Duma di Stato, ha affermato che l’attacco fa parte di una campagna coordinata delle potenze occidentali per danneggiare l’economia russa, dopo che non sono riuscite a raggiungere i loro obiettivi attraverso mezzi militari e sanzioni.

 

Aeroflot, la più grande compagnia aerea russa, è stata costretta a cancellare o ritardare decine di voli il 28 luglio dopo che gruppi di hacker filo-ucraini hanno affermato di aver paralizzato i sistemi informatici interni della compagnia aerea. L’attacco informatico ha interrotto anche le operazioni aeroportuali e ha colpito altre aziende, tra cui una catena nazionale di farmacie.

 

«Non si tratta di hacker isolati, ma di un’azione pianificata dalle agenzie di intelligence americane e britanniche», ha dichiarato Svintsov al quotidiano russo Abzats. Ha descritto la campagna come uno «sforzo sistematico condotto contro la Russia», suggerendo che sia un segno di disperazione da parte degli avversari del Paese.

Sostieni Renovatio 21

«Si tratta di un approccio sistematico da parte dei nostri nemici occidentali, che non sono riusciti a sconfiggere la Russia sul campo di battaglia. Stanno cercando di indebolire il potenziale economico, dato che le sanzioni non stanno aiutando», ha affermato Svintsov, avvertendo che il sabotaggio informatico potrebbe continuare fino a quando la Russia non otterrà la vittoria nel conflitto ucraino.

 

A maggio, il Segretario alla Difesa John Healey ha dichiarato che il Regno Unito avrebbe aumentato significativamente le operazioni informatiche contro Russia e Cina. Ha confermato la creazione di un nuovo Comando Cibernetico ed Elettromagnetico, aggiungendo che «la tastiera è ora un’arma di guerra».

 

Il Cremlino ha esortato le aziende russe a sostituire software e hardware di fabbricazione estera per ridurre l’esposizione alle minacce informatiche. Il mese scorso, il presidente Vladimir Putin ha incaricato il governo di accelerare la sostituzione delle importazioni.

 

I gruppi di hacker Silent Crow e Cyberpartisans BY hanno rivendicato la responsabilità dell’attacco di lunedì ad Aeroflot, scrive la stampa russa. Le due sigle avrebbero affermato di essere entrati nella rete aziendale della compagnia aerea per oltre un anno, rubando più di 20 terabyte di dati e distruggendo circa 7.000 server.

 

L’autorità di regolamentazione delle comunicazioni Roskomnadzor ha dichiarato che le fughe di dati non sono state confermate. La Procura generale russa ha confermato l’attacco informatico e ha aperto un procedimento penale.

 

Come riportato da Renovatio 21, nelle ore successive all’attacco contro la compagnia aerea di bandiera russa, il Roskomnadzor ha bloccato lo strumento di misurazione delle prestazioni di Internet Speedtest, gestito dalla società statunitense Ookla, citando minacce all’infrastruttura digitale nazionale.

Iscriviti alla Newslettera di Renovatio 21

SOSTIENI RENOVATIO 21


 

Continua a leggere

Guerra cibernetica

Microsoft toglie i servizi ad una raffineria indiana di proprietà russa. Il tribunale ordina di ripristinarli

Pubblicato

1 mese fa

il

4 Agosto 2025

Da

Microsoft ha ripreso a fornire servizi digitali essenziali alla raffineria indiana Nayara Energy dopo che quest’ultima ha citato in giudizio il gigante tecnologico statunitense presso l’Alta Corte di Delhi. La vicenda è di estremo interesse per quanto riguarda la questione della sovranità digitale, di fatto impedita quando si usa software straniero di colossi che sfuggono ai controlli.   Nayara, una società in parte posseduta dalla russa Rosneft, ha dichiarato lunedì alla corte che Microsoft aveva limitato il suo accesso ai dati, agli strumenti proprietari e ai prodotti a causa delle sanzioni dell’Unione Europea.   «Microsoft si impegna a supportare tutti i suoi clienti in India e nel mondo e ha ripristinato i servizi per Nayara Energy», ha dichiarato l’azienda in una nota mercoledì. «Siamo impegnati in trattative in corso con l’Unione Europea per garantire la continuità dei servizi per l’organizzazione».

Sostieni Renovatio 21

La raffineria ha dichiarato mercoledì che i suoi servizi erano stati ripristinati. «Nayara Energy conferma che tutti i servizi Microsoft essenziali per le sue operazioni sono stati completamente ripristinati, senza alcuna interruzione della continuità operativa e mantenendo intatta l’integrità dei dati», ha affermato in una nota. «Riconosciamo il tempestivo intervento dell’Onorevole Alta Corte di Delhi nel facilitare la risoluzione di questa questione. La petizione è stata accolta dall’Alta Corte a favore di Nayara Energy».   Secondo il rapporto, il tribunale ha concesso alla società la libertà di rivolgersi nuovamente al tribunale qualora dovessero presentarsi reclami simili.   Nayara aveva richiesto un’ingiunzione provvisoria e la ripresa dei servizi di Microsoft per proteggere i propri diritti e garantire un accesso ininterrotto alle infrastrutture digitali critiche. Martedì, l’azienda ha dichiarato che la decisione di Microsoft ha creato un «pericoloso precedente per l’eccesso di potere aziendale e solleva serie preoccupazioni in merito alle sue implicazioni sull’ecosistema energetico indiano».   Nel frattempo, secondo un articolo pubblicato sulla testata Mint, la raffineria ha iniziato a migrare verso fornitori di servizi digitali nazionali per garantire la continuità operativa. Ha avviato l’azione legale per ottenere un provvedimento urgente, mentre persegue transizioni strategiche più ampie verso fornitori di servizi alternativi, aggiunge il rapporto.   All’inizio di questo mese, l’UE ha imposto sanzioni alla raffineria di Vadinar, controllata da Nayara, una joint venture indo-russa in cui Rosneft detiene una quota del 49%.   Le sanzioni colpiscono specificamente il settore petrolifero e includono il divieto di importare prodotti petroliferi raffinati ricavati dal greggio russo. È la prima volta che una raffineria indiana è soggetta a tali misure.   Si tratta per il mondo di un precedente di massima importanza: un colosso americano, su indicazione della politica occidentale o anche senza, può decidere di terminare i servizi impedendo di fatto la gestione dell’impresa e facendola fallire. È l’applicazione, su scala industriale, del principio di bannabilità a discrezione assoluta della piattaforma che vediamo con i social media. Conosciamo la questione: come sa il lettore, Renovatio 21 ha portato Facebook in tribunale per riavere pagina e account, ottenendo il ripristino di questi con l’ordinanza del giudice; la pagina e gli account, tuttavia, ci paiono ora shadowbannati sino ad essere inutilizzabili.   In molti stanno esprimendo timore per il futuro dei software Microsoft ora completamente commissionati all’Intelligenza Artificiale, a partire dalla proposta di nutrire l’IA con screenshot continui delle nostre attività al PC.   Possiamo dire inoltre che Microsoft è un’azienda geopoliticamente esposta.

Aiuta Renovatio 21

Come riportato da Renovatio 21, poco prima che scattasse l’operazione militare speciale di Mosca in Ucraina, aveva dato avvertimento di un malware di tipo «wiper» – cioè che cancella tutto – mai visto prima che è apparso rivolto ai ministeri del governo e alle istituzioni finanziarie di Kiev, dimostrando di lavorare di fatto al fianco degli enti occidentali; lo scorso anno, Microsoft scrisse che hacker e i siti di fake news presumibilmente legati all’Iran potrebbero essere intenzionati a commettere crimini negli Stati Uniti; nei mesi scorsi, vi sono state accuse a Microsoft per aver fornito tecnologia all’esercito israeliano. Due anni fa Microsoft dichiarò di essere stata hackerata dagli hacker del gruppo Russia Midnight Blizzard, che aveva violato, secondo quanto riportato, il sistema di posta elettronica aziendale del colosso.   Ricordiamo che Microsoft, grazie a Windows, controlla i computer della maggior parte del pianeta. Viene da dire che il fondatore di Microsoft Bill Gates, grazie alle fondazioni e ai miliardi distribuiti a programmi globali, dall’OMS in giù, punta a controllare il sistema operativo biologico planetario, dalle piante OGM create con bioingegneria CRISPR al corpo umano modificato con sieri genici sperimentali.

Iscriviti alla Newslettera di Renovatio 21

SOSTIENI RENOVATIO 21
Immagine d’archivio di pubblico dominio CC0 via Wikimedia  
Continua a leggere

Più popolari