Il presidente schiera i pesi massimi dell’amministrazione per cantare vittoria su uno dei gruppi hacker più pericolosi al mondo. E anche l’Europol fa scattare le manette… Mosca avvisata
Joe Biden (e alleati) uno. Vladimir Putin zero. All’indomani della telefonata tra il presidente russo e il capo della Cia William Burns per parlare anche di cybersecurity, l’inquilino della Casa Bianca canta vittoria su REvil, uno dei gruppi ransomware più noti e pericolosi al mondo. Nel palmares ci sono attacchi contro Quanta Computer, fornitore di Apple, con la pubblicazione di alcuni dettagli del nuovissimo MacBook Pro 2021 (ad aprile); contro alcune infrastrutture critiche degli Stati Uniti come il maxi-oleodotto Colonial Pipeline (a maggio); contro la supply chain di Kaseya, azienda statunitense che ha tra i suoi prodotti un diffusissimo software di management aziendale (a luglio).
IL GRUPPO NEL MIRINO
Si tratta, come raccontavamo nei giorni scorsi su Formiche.net, di un collettivo, noto anche come Sodinokibi, di tipo ransomware-as-a-service: le sue operazioni, infatti, vede persone affiliate chiedere supporto ai gestori del malware in questione in cambio della suddivisione del riscatto. Notavamo ancora come “il rapporto con la Russia – REvil è stato definito a volte un gruppo con base in Russia, a volte russofono, spesso allineato agli interessi di Mosca – sembra aver rappresentato un elemento fondamentale per la decisione delle autorità statunitensi”.
LA CASA BIANCA ESULTA
Il presidente statunitense ha salutato positivamente le operazioni che hanno portato oggi al sequestro di sei milioni di dollari in criptovalute e all’arresto di due persone legate ad attacchi ransomware. “Anche se rimane lavoro da fare, abbiamo fatto dei passi importanti per rafforzare le nostre infrastrutture contro gli attacchi hacker e individuare i responsabili che minacciano la nostra sicurezza, lavorando i nostri alleati per fermare la rete degli attacchi ransomware”, ha affermato. “Quando ho incontrato il presidente Putin a giugno ho messo in chiaro che gli Stati Uniti avrebbero agito per individuare questi cybercriminali”, ha aggiunto, “ed è quello che abbiamo fatto oggi”.
L’OPERAZIONE
Il dipartimento di Giustizia ha rivelato i dettagli delle operazioni sul territorio statunitense (di cui avevamo già scritto su Formiche.net) precisando che i due soggetti – l’ucraino Yaroslav Vasinskyi di 22 anni, in custodia in Polonia, e il russo Yevgeniy Polyanin di 28, presumibilmente all’estero, secondo il dipartimento – sono ritenuti responsabili degli attacchi ransomware contro Kaseya, che ha finito per infettare più di mille aziende in tutto il mondo.
LA CONFERENZA STAMPA
La conferenza stampa ha suscitato grande curiosità: presenti Fbi, dipartimento di Giustizia, dipartimento del Tesoro e dipartimento di Stato (che da poco tempo ha un Bureau per il cyberspazio e la politica digitale e un inviato speciale per le tecnologie critiche ed emergenti) – una dimostrazione di forza che ha ricordato ad alcuni i tempi degli Stati Uniti impegnati nella guerra al terrorismo. Per l’amministrazione Biden l’arena cibernetica è una priorità. Basti pensare che nelle scorse settimane ha convocato la Counter-Ransomware Initiative durante la quale 31 Paesi e l’Unione europea hanno concordato impegni per il contrasto ai “paradisi” per gli hacker e al riciclaggio via criptovalute.
GLI ARRESTI EUROPOL
L’annuncio dell’amministrazione è arrivato nelle ore in cui il ministro degli Esteri della Romania Bogdan Aurescu era a Washington per incontrare il segretario di Stato Antony Blinken e in cui l’Europol dava notizia dell’arresto da parte delle autorità romene (a Bucarest sorgerà il Centro europeo di competenza per la cibersicurezza che guiderà la rete dei centri nazionali di coordinamento) di due persone sospettate di attacchi informatici che utilizzavano il ransomware Sodinokibi/REvil. Sarebbero responsabili di 5.000 attacchi per un totale di mezzo milione di euro in riscatti. Dal febbraio 2021, le forze dell’ordine hanno arrestato altri tre affiliati di Sodinokibi/REvil e due sospetti collegati a GandCrab. Questi sono alcuni dei risultati dell’operazione GoldDust, che ha coinvolto Europol, Eurojust, Interpol e 17 Paesi: Australia, Belgio, Canada, Francia, Germania, Paesi Bassi, Lussemburgo, Norvegia, Filippine, Polonia, Romania, Corea del Sud, Svezia, Svizzera, Kuwait, Regno Unito e Stati Uniti.
