Il 28 febbraio 2023, la Polizia Regionale Tedesca (Landeskriminalamt Nordrhein-Westfalen) e la Polizia Nazionale Ucraina (Націона́льна полі́ція Украї́ни), con il supporto di Europol, la Polizia Olandese (Politie) e l’FBI degli Stati Uniti, hanno preso di mira i sospetti membri core del gruppo criminale responsabile di attacchi informatici su larga scala con il ransomware DoppelPaymer.
Operazione congiunta per smantellare il gruppo
Questo ransomware è apparso nel 2019, quando i criminali informatici hanno iniziato a utilizzarlo per lanciare attacchi contro organizzazioni, infrastrutture critiche e industrie. Basato sul ransomware BitPaymer e parte della famiglia di malware Dridex, DoppelPaymer utilizzava uno strumento unico in grado di compromettere i meccanismi di difesa terminando il processo di sicurezza dei sistemi attaccati. Gli attacchi DoppelPaymer sono stati abilitati dal prolifico malware EMOTET. Il ransomware veniva distribuito attraverso vari canali, tra cui email di phishing e spam con documenti allegati contenenti codice malevolo – sia JavaScript che VBScript. Il gruppo criminale dietro questo ransomware si basava su uno schema di doppia estorsione, utilizzando un sito web di leak lanciato dagli attori criminali all’inizio del 2020. Le autorità tedesche sono a conoscenza di 37 vittime di questo gruppo di ransomware, tutte aziende. Uno degli attacchi più gravi è stato perpetrato contro l’Ospedale Universitario di Düsseldorf. Negli Stati Uniti, le vittime hanno pagato almeno 40 milioni di euro tra maggio 2019 e marzo 2021.
Durante le azioni simultanee, gli agenti tedeschi hanno fatto irruzione nella casa di un cittadino tedesco, che si ritiene abbia svolto un ruolo importante nel gruppo di ransomware DoppelPaymer. Gli investigatori stanno attualmente analizzando l’attrezzatura sequestrata per determinare il ruolo esatto del sospetto nella struttura del gruppo di ransomware. Allo stesso tempo, e nonostante la situazione di sicurezza estremamente difficile che l’Ucraina sta attualmente affrontando a causa dell’invasione della Russia, gli agenti di polizia ucraini hanno interrogato un cittadino ucraino che si ritiene sia anche lui un membro del nucleo duro di DoppelPaymer. Gli agenti ucraini hanno effettuato perquisizioni in due sedi, una a Kiev e una a Kharkiv. Durante le perquisizioni, hanno sequestrato attrezzature elettroniche, attualmente in fase di esame forense.
Europol sul posto per accelerare l’analisi forense dei dati sequestrati
Nel giorno dell’operazione, l’Europol ha dispiegato tre esperti in Germania per verificare le informazioni operative sui propri database e fornire ulteriore analisi operativa, tracciamento crittografico e supporto forense. L’analisi di questi dati e di altri casi correlati dovrebbe innescare ulteriori attività investigative. Inoltre è stato istituito un Posto di Comando Virtuale per collegare gli investigatori ed esperti di Germania, Ucraina, Paesi Bassi e Stati Uniti in tempo reale e coordinare le attività durante le perquisizioni. Il Joint Cybercrime Action Taskforce (J-CAT) di Europol ha anche supportato l’operazione. Questa squadra operativa permanente è composta da ufficiali di collegamento per la cyber-criminalità di diversi paesi che lavorano su indagini di alto profilo sulla cyber-criminalità. Fin dall’inizio dell’indagine, Europol ha facilitato lo scambio di informazioni, coordinato la cooperazione internazionale in materia di applicazione della legge e supportato le attività operative. Inoltre è stato anche fornito supporto analitico collegando i dati disponibili a vari casi criminali all’interno e all’esterno dell’UE e supportato l’indagine con analisi di criptovalute, malware, decrittografia e forense.
