Sono ancora in corso le analisi forensi dell'attrezzatura sequestrata per determinare l'esatto ruolo degli indagati e i loro legami con altri complici
Il 28 febbraio 2023, la polizia regionale tedesca (Landeskriminalamt Nordrhein-Westfalen) e la polizia nazionale ucraina (Націона́льна поліція Украї́ни), con il sostegno di Europol, la polizia olandese (Politie) e il Federal Bureau of Investigations degli Stati Uniti, hanno preso di mira membri sospetti del gruppo criminale responsabile dell'esecuzione di attacchi informatici su larga scala con il ransomware DoppelPaymer.
Questo ransomware è apparso nel 2019, quando i criminali informatici hanno iniziato a usarlo per lanciare attacchi contro organizzazioni, infrastrutture e industrie critiche. Basato sul ransomware BitPaymer e parte della famiglia di malware Dridex, DoppelPaymer ha utilizzato uno strumento unico in grado di compromettere i meccanismi di difesa interrompendo il processo relativo alla sicurezza dei sistemi attaccati. Gli attacchi DoppelPaymer sono stati abilitati dal prolifico malware EMOTET .
Il ransomware è stato distribuito attraverso vari canali, tra cui e-mail di phishing e spam con documenti allegati contenenti codice dannoso, JavaScript o VBScript. Il gruppo criminale dietro questo ransomware si è basato su uno schema di doppia estorsione, utilizzando un sito web di leak lanciato dagli attori criminali all'inizio del 2020. Le autorità tedesche sono a conoscenza di 37 vittime di questo gruppo ransomware, tutte aziende. Uno degli attacchi più gravi è stato perpetrato contro l'ospedale universitario di Düsseldorf. Negli Stati Uniti, le vittime hanno pagato almeno 40 milioni di euro tra maggio 2019 e marzo 2021.
Durante le azioni simultanee, ufficiali tedeschi hanno fatto irruzione nella casa di un cittadino tedesco, che si ritiene abbia svolto un ruolo importante nel gruppo ransomware DoppelPaymer. Gli investigatori stanno attualmente analizzando l'attrezzatura sequestrata per determinare l'esatto ruolo del sospetto nella struttura del gruppo ransomware.
Allo stesso tempo, e nonostante l'attuale situazione di sicurezza estremamente difficile che l'Ucraina sta attualmente affrontando a causa dell'invasione da parte della Russia, gli agenti di polizia ucraini hanno interrogato un cittadino ucraino che si ritiene sia anche un membro del gruppo centrale DoppelPaymer. Gli ufficiali ucraini hanno perquisito due località, una a Kiev e una a Kharkiv. Nel corso delle perquisizioni sono state sequestrate apparecchiature elettroniche, attualmente al vaglio della Scientifica. Europol in loco per accelerare l'analisi forense dei dati sequestrati
Nei giorni di azione, Europol ha inviato tre esperti in Germania per effettuare controlli incrociati delle informazioni operative con le banche dati di Europol e per fornire ulteriori analisi operative, tracciamento crittografico e supporto forense. L'analisi di questi dati e di altri casi correlati dovrebbe innescare ulteriori attività investigative. Europol ha inoltre istituito un posto di comando virtuale per collegare in tempo reale gli investigatori e gli esperti di Europol, Germania, Ucraina, Paesi Bassi e Stati Uniti e per coordinare le attività durante le perquisizioni domiciliari.
Anche la task force congiunta per l'azione contro la criminalità informatica (J-CAT) di Europol ha sostenuto l'operazione. Questo team operativo permanente è composto da ufficiali di collegamento per la criminalità informatica di diversi paesi che lavorano su indagini di criminalità informatica di alto profilo.
Dall'inizio dell'indagine, Europol ha facilitato lo scambio di informazioni, ha coordinato la cooperazione internazionale in materia di applicazione della legge e ha sostenuto le attività operative. Europol ha inoltre fornito supporto analitico collegando i dati disponibili a vari casi penali all'interno e all'esterno dell'UE e ha sostenuto le indagini con criptovaluta, malware, decrittazione e analisi forense.
Commenti
Posta un commento