Associati
Gang sotto Assedio: siamo di fronte al Tramonto del Ransomware?
A cura di Luca Mella
Introduzione
Negli ultimi tempi, le forze dell’ordine stanno colpendo i principali ecosistemi ransomware con operazioni congiunte senza precedenti: dalle prime collaborazioni internazionali, fino alla recentissima operazione “Endgame”, questi successi hanno giovato alla sicurezza delle imprese del territorio. Tuttavia, queste importanti iniziative di contrasto sono purtroppo soggette a dei limiti incomprimibili. In questo articolo, analizzeremo come la cooperazione internazionale stia colpendo il crimine informatico organizzato, e cercheremo di orientarci nel comprendere come l’underground criminale informatico ne sia effettivamente impattato.
Le Operazioni contro il Ransomware
Negli ultimi anni, le autorità di diversi paesi occidentali hanno unito le forze per smantellare le infrastrutture e arrestare membri di alcune tra le più pericolose gang di ransomware. Ma quello che oggi vediamo - in termini di successi contro il crimine - fonda le sue radici in tempi informaticamente remoti. Già nel 2016 l’operazione “Avalanche”, azione congiunta in 30 paesi, portò all’arresto di 5 criminali e alla rimozione di oltre 200 server usati per diffondere malware (inclusi alcuni ransomware). Questo fu solo l’inizio. Nello stesso anno nasceva anche “No More Ransom”, iniziativa pubblico-privata che da allora ha aiutato oltre 1,5 milioni di vittime a decriptare i propri file senza pagare riscatti, sottraendo circa un miliardo e mezzo di dollari ai cybercriminali.
Questo primo approccio cooperativo si è piano piano espanso nelle agenzie di Polizia di un maggior numero di Paesi, intensificandosi negli anni recenti tanto che ad oggi possiamo contare successi contro molte delle gang criminale che, in passato, hanno fatto tremare le nostre Aziende.
REvil: gang operante tra il 2018 e il 2021, prima sotto l’egida di GandCrab e poi REvil (Sodinokibi) che ha colpito migliaia di vittime nel mondo. In un’operazione globale denominata GoldDust (fine 2021), Europol e FBI hanno coordinato 17 paesi riuscendo ad arrestare 7 affiliati di REvil/GandCrab in Europa, Asia e Nordamerica. In seguito, a sorpresa, anche l’FSB russo annunciò nel gennaio 2022 di aver smantellato REvil su richiesta degli USA, con perquisizioni in 25 località e 14 arresti. Fu un raro caso di collaborazione USA-Russia in piena tensione geopolitica, che portò al sequestro di contanti, crypto e auto di lusso del gruppo. Tuttavia, dopo l’invasione russa dell’Ucraina, questo tipo di cooperazione si è interrotto, lasciando molti leader di ransomware impuniti.
Conti: attiva tra il 2020 e il 2022, la famigerata gang ha estorto decine di milioni di dollari colpendo, tra gli altri, la sanità irlandese e il governo del Costa Rica. Nel febbraio 2022 il gruppo dichiarò pubblicamente il suo supporto alla Russia per l’attacco all’Ucraina, minacciando ritorsioni contro gli Stati Uniti. Questa mossa si ritorse invece contro Conti stessa: una gola profonda pubblicò infatti oltre 60.000 chat interne, il famoso ContiLeaks, rivelando dettagli sull’organizzazione interna e gli illeciti della gang. Contestualmente, gli Stati Uniti misero una taglia da 15 milioni di dollari sui leader di Conti. Sotto questa pressione – e probabilmente per dissidi interni – Conti annunciò lo scioglimento nel maggio 2022. Tuttavia, in realtà i membri non scomparvero: molti confluirono in altri gruppi RaaS o ne fondarono di nuovi, come BlackCat, BlackBasta, Karakurt e Royal. Proprio Royal (apparsa nel 2022) sarebbe capeggiata da un veterano di Conti: il ricercato Vitaly Kovalev, alias “Stern”, identificato da un recente leak di ulteriore informatore: “GangExposed”. Questo misterioso whistleblower ha infatti pubblicato a giugno 2025 foto, alias, dati personali e chat che smascherano Kovalev come mente di Conti, Trickbot e Royal. La polizia tedesca (BKA) ha confermato queste informazioni, indicando Kovalev come fondatore del gruppo Trickbot/Conti. Nonostante l’enorme mole di prove (si parla di oltre 500 milioni di dollari in crypto accumulati da Kovalev), il fatto che egli e altri leader risiedano in certi paesi rende la loro cattura impraticabile.
Hive: una delle operazioni di maggior impatto è stata condotta contro la gang Hive all’inizio del 2023. Hive era un servizio RaaS (Ransomware as a Service) che in meno di due anni aveva colpito oltre 1300 vittime in tutto il mondo, tra cui molte strutture sanitarie. In un’azione sotto copertura, gli agenti FBI sono riusciti a infiltrarsi nei sistemi di Hive per circa sette mesi, da luglio 2022 a gennaio 2023. In questo periodo hanno sottratto alla gang le chiavi di decrittazione dei ransomware, distribuendo di nascosto oltre 300 decryptor gratuiti alle vittime colpite attivamente e altre 1000 chiavi a vittime passate. Questa mossa ha impedito che circa 130 milioni di dollari in riscatti finissero nelle casse dei criminali. A fine operazione, il 26 gennaio 2023, il Dipartimento di Giustizia USA ha annunciato il takedown di Hive: i server e il sito di leak del gruppo sono stati sequestrati, sferrando un colpo decisivo alla gang. L’importanza di questo caso risiede anche nel cambio di strategia: invece di limitarsi ad arrestare alcuni membri, le forze dell’ordine hanno colpito al cuore l’infrastruttura e, soprattutto, aiutato le vittime a mitigare i danni. Questa operazione congiunta (FBI, Europol, Germania e altri) ha segnato un precedente importante mettendo “le vittime” al centro della strategia, accendendo luce sulle potenzialità del supporto che le operazioni di polizia possono dare alle vittime del ransomware, oltre che all’efficacia nel contrasto e nella deterrenza.
LockBit: attiva dal 2019, LockBit è diventata nel 2022 la più prolifica organizzazione ransomware a livello globale, responsabile di oltre il 40% degli attacchi noti. A differenza di Conti e REvil, il gruppo LockBit è rimasto operativo nonostante alcuni arresti di affiliati. Nel 2022 un suo membro fu arrestato in Canada ed estradato negli USA, e altri due sospetti furono fermati in Ucraina e a Singapore. La vera offensiva contro LockBit però è arrivata tra il 2023 e il 2024 con l’operazione Cronos, coordinata da Europol, FBI e le polizie di 10 paesi. In una prima fase, febbraio 2024, i portavoce di Cronos hanno annunciato di aver compromesso i server chiave di LockBit, arrestato 2 membri chiave del gruppo e congelato oltre 200 wallet di criptovalute legati ai profitti illeciti. Clamorosamente, gli investigatori sono persino riusciti a prendere temporaneo controllo del sito di pubblicazione dei dati rubati di LockBit: sul dark web campeggiava un messaggio delle forze di polizia a mo’ di sfida, prova tangibile dell’accesso ottenuto (la NCA britannica ha pubblicato screenshot denominati ironicamente “oh_no.png”). In una seconda fase, settembre 2024, l’operazione Cronos ha portato ad altri quattro arresti: un sospetto sviluppatore di LockBit catturato in Francia, due affiliati arrestati nel Regno Unito e un amministratore dei servizi di hosting arrestato in Spagna (con contestuale sequestro di 9 server). Contestualmente, sono state emanate sanzioni finanziarie contro diversi individui collegati a LockBit ed EvilCorp (noto gruppo cybercriminale russo), suggerendo legami tra le due organizzazioni. Durante le operazioni di polizia, le autorità inoltre hanno recuperato oltre 1000 chiavi di decrittazione di vittime di Lock-Bit, distribuite poi tramite il progetto “No More Ransom”. Secondo Europol, questa serie di azioni coordinate ha “colpito l’operatività di LockBit a tutti i livelli, danneggiando gravemente le sue capacità e la credibilità”. In altre parole, la gang si è trovata con infrastruttura e fondi in parte bloccati, costretta a ripiegare temporaneamente su sistemi di riserva.
BlackCat: emersa a fine 2021, la gang ALPHV (nota anche come BlackCat) è stata considerata una sorta di erede di DarkSide/BlackMatter (il gruppo dietro l’attacco al Colonial Pipeline nel 2021). Nel 2023 BlackCat è diventata il secondo RaaS più attivo dopo LockBit, con oltre 300 milioni di dollari estorti in un migliaio di attacchi riusciti. Come per LockBit, i suoi leader operano in libertà presumibilmente in Russia, ma le forze di polizia sono riuscite comunque a infliggere dei duri colpi all’organizzazione. Nel dicembre 2023 il Dipartimento di Giustizia USA ha rivelato un’operazione sotto copertura contro ALPHV simile a quella condotta su Hive: l’FBI aveva ottenuto accesso alle chiavi di decrittazione di BlackCat, sviluppando un tool gratuito fornito a 500 vittime in tutto il mondo, prevenendo pagamenti per 68 milioni di dollari. Inoltre, sono stati sequestrati diversi siti web usati dalla gang per le comunicazioni e la pubblicazione dei dati rubati. Anche in questo caso, “gli hacker sono stati hackerati”: ancora una volta le autorità hanno penetrato le difese di un gruppo ransomware e lo hanno colpito dall’interno. Questo ha causato forte diffidenza all’interno della community cybercriminale: dopo il breach, alcuni affiliati BlackCat hanno abbandonato la gang migrando verso LockBit, mentre altri hanno iniziato a trattare direttamente con le vittime temendo che l’infrastruttura non fosse più sicura. Addirittura, i boss di Lock-Bit e BlackCat hanno discusso online l’idea di formare un “cartello” del ransomware per unire le forze contro la pressione delle forze dell’ordine. Esperimenti simili in passato (e.g. l’alleanza Maze-Egregor nel 2020) non hanno impedito arresti e scioglimenti, anzi Egregor stesso fu smantellato dalla polizia ucraina meno di un anno dalla sua creazione.
Operation Endgame: oltre alle azioni mirate alle singole gang, va evidenziata negli ultimi periodi l’adozione di una strategia più ampia volta a colpire l’ecosistema del ransomware. Nell’ultimo anno le forze di polizia hanno infatti concentrato gli sforzi sui “broker di accesso iniziale”: gruppi e malware che forniscono ai ransomware un punto d’ingresso nei sistemi delle vittime. Nel maggio 2024 un’azione internazionale coordinata dall’FBI con Europol e ben 11 paesi (USA, Regno Unito, EU e altri) ha smantellato le infrastrutture di sette diverse famiglie di malware usate per distribuire ransomware. Questa operazione, denominata “Endgame”, ha abbattuto circa 300 server e neutralizzato 650 domini usati per controllare malware come QakBot, Emotet, IcedID, Trickbot, e Bumblebee. Sono stati emessi mandati di cattura per 20 indagati in vari paesi e sequestrati oltre 21 milioni di euro in criptovalute. Colpendo i cosiddetti “dropper” e “loader”, i malware usati come precursori dell’attacco ransomware, gli investigatori puntano a “spezzare la kill chain all’origine”, impedendo ai ransomware di arrivare alle reti bersaglio. Europol ha sottolineato come questa operazione di polizia rappresenti un approccio nuovo, sostenuto e tutt’altro che sporadico: dopo la prima ondata di maggio 2024, ne sono seguite altre (una seconda ondata a maggio 2025 ha portato a nuovi indagati e sequestri). Si tratta della più ampia offensiva mai condotta contro l’infrastruttura del cybercrime, resa possibile soltanto dalla stretta cooperazione internazionale e dallo scambio in tempo reale di informazioni tra continenti.
I limiti del contrasto e i Santuari del crimine
Nonostante i successi, ci sono limiti strutturali nella lotta al ransomware, specie quando ci si scontra con barriere geopolitiche. Molte gang di ransomware hanno base in paesi che di fatto offrono un porto sicuro ai loro membri, sia per mancanza di volontà politica sia per implicita convenienza. La Russia in primis, e alcuni stati dell’ex CSI, sono i casi più evidenti: finché gli hacker operano dal territorio filo-russo, e non colpiscono obiettivi domestici, sanno di essere relativamente al sicuro. I vertici di vari gruppi ransomware sono noti agli investigatori occidentali, tant’è che Washington ha emesso taglie milionarie e sanzioni contro di loro, eppure rimangono intoccabili. L’episodio di REvil, con 14 arresti lampo in Russia nel 2022, è stata l’eccezione che conferma la regola: l’operazione avvenne in un breve spiraglio di dialogo USA-Russia, oggi praticamente inesistente.
Peggio ancora, emergono indizi di connivenza tra cybercriminali e apparati statali in quei paesi. Il recente leak di chat interne di BlackBasta è illuminante: i log, oltre 200.000 messaggi trapelati nel marzo 2025, indicano che il leader del gruppo, Oleg Nefedov (alias “GG”), avrebbe ottenuto aiuto da funzionari russi per sfuggire all’arresto. In una conversazione, Nefedov racconta di essere stato fermato in Armenia e di aver chiamato “contatti ad alto livello” a Mosca, i quali gli avrebbero garantito un “corridoio verde” per tornare indenne in Russia . Il leak rivela anche che Black Basta operava tranquillamente con due uffici fisici a Mosca e confidava di essere al riparo da interventi stranieri grazie alla protezione delle autorità locali. In un altro passaggio, GG afferma che se fosse mai arrivata una richiesta ufficiale di estradizione tramite Interpol, le forze dell’ordine russe l’avrebbero “strangolata sul nascere” per evitare grane ai suoi “amici” in alto loco. Queste pericolose relazioni rendono quasi impossibile colpire i vertici delle gang: arrestarli richiederebbe che le autorità del loro paese agissero contro di loro, cosa improbabile se vengono tacitamente tollerati o addirittura considerati una risorsa ufficiosa (ad esempio, per attività di spionaggio o sabotaggio informatico all’estero compatibili con gli interessi nazionali).
Oltre alla Russia, altri rifugi per cybercriminali sono paesi che non estradano i sospetti verso l’Occidente. Spesso gli operatori ransomware pianificano di risiedere (o fuggire) in nazioni come l’Iran o la Cina, sapendo che da lì difficilmente potranno essere raggiunti legalmente. Il leak di GangExposed ha persino evidenziato attività del gruppo Conti/Trickbot effettuate in Emirati Arabi Uniti e Cina, ipotizzando che fossero modi per ottenere protezione in quei paesi o per complicare l’azione giudiziaria internazionale . In pratica, i cybercriminali più navigati sfruttano arbitraggi legali e lacune diplomatiche: si spostano in giurisdizioni sicure e magari investono lì i proventi (in immobili, imprese di copertura, ecc.), ben consci che le forze dell’ordine estere non potranno facilmente metterci mano.
Questa situazione crea un doppio binario di giustizia: gli affiliati “minori” o sprovveduti vengono arrestati quando commettono errori, ad esempio viaggiando in paesi collaborativi, usando provider occidentali, riciclando denaro tramite circuiti controllati, mentre i grandi boss restano nell’ombra, protetti da confini e, in alcuni casi, da ombrelli politici.
Dopo il takedown
Un’altra realtà emersa chiaramente è che lo smantellamento di una gang non coincide necessariamente con la fine della minaccia. Al contrario, il cybercrimine ha dimostrato una notevole capacità di adattamento e riorganizzazione di fronte ai takedown. Gli affiliati e i leader sfuggiti agli arresti tendono a disperdersi per poi riaggregarsi in nuove formazioni o inserirsi in altre esistenti. È un po’ il principio dell’idra: tagliata una testa, ne spuntano due altrove. Abbiamo visto come Conti si sia “frammentata” dando linfa a nuove sigle come BlackCat, Black Basta, Royal e altri; analogamente, dopo la chiusura forzata di REvil alcuni membri sono confluiti in LockBit (che all’epoca era un gruppo emergente) o in altre operazioni RaaS.
Spesso il know-how tecnico e le infrastrutture non vanno persi con il takedown ma vengono riutilizzati. Nel caso di Conti, ad esempio, i leak hanno mostrato che il gruppo manteneva contatti con Trickbot e altre reti: quando Conti è “imploso”, molti sviluppatori e operatori sono semplicemente passati a usare quelle stesse reti per nuovi scopi, come le campagne BazarLoader o i finti call-center di BazarCall. Alcuni gruppi hanno effettuato dei rebranding per confondere le acque: è successo con DarkSide → BlackMatter → BlackCat, o con DoppelPaymer → Grief, o anche con HuntersInternational → WordLeaks. Questo rende difficile per le forze dell’ordine attribuire nuovi attacchi a gruppi formalmente “sciolti”. Inoltre i criminali imparano dagli errori: dopo ogni arresto eccellente, i forum del dark web brulicano di discussioni su come migliorare l’OPSEC (sicurezza operativa): ad esempio riducendo la propria esposizione, usando solo criptovalute più anonime, comunicando via sistemi più cifrati o decentralizzati, o evitando certi comportamenti a rischio (come viaggiare all’estero).
Gang meno pericolose?
Alla luce di questi sviluppi, il fenomeno ransomware è oggi a un punto di svolta. La buona notizia è che non è più incontrastato: la cooperazione internazionale ha iniziato a conseguire risultati tangibili, dimostrando che “si può fare”. Gang un tempo ritenute intoccabili sono ora state smantellate, o quantomeno seriamente danneggiate, infrastrutture criminali sono state disarticolate e ingenti somme sottratte ai pirati informatici. Inoltre, il messaggio lanciato è forte: chi commette attacchi ransomware può essere individuato e punito, anche a distanza di anni, e i riscatti non sono più garantiti come un tempo. Molte aziende vittime hanno riavuto i loro dati gratis grazie alle operazioni di polizia, aumentando la fiducia nel denunciare gli incidenti invece di pagare.
Tuttavia, sarebbe ingenuo affermare che le gang ransomware siano sconfitte o siano “meno pericolose” in senso assoluto. Piuttosto, stanno diventando più elusive. Le campagne ransomware odierne tendono a essere più mirate, condotte da gruppi che adottano misure di sicurezza operativa maniacali e verso bersagli meno propensi alla cooperazione con le autorità.
Si osserva una sorta di darwinismo criminale: gli elementi improvvisati o sprovveduti vengono eliminati, mentre sopravvivono i gruppi più organizzati, spesso con possibili protezioni ad alti livelli. Questi ultimi agiscono nell’ombra, magari cambiando nome spesso, frammentando in sottogruppi per confondere gli investigatori e affidandosi a reti di collaboratori sempre più distribuite e difficili da tracciare. La minaccia quindi non è diminuita, ma si è evoluta. Alcune gang storiche sono sparite, ma nuove ne sono emerse; molte infrastrutture di supporto (forum, broker di accesso, riciclatori di criptovalute) restano operative nel dark web, pronte a servire la prossima generazione di criminali.
In definitiva, le recenti operazioni di polizia internazionale hanno alzato il costo e il rischio per chi fa ransomware, obbligando i cybercriminali a continui traslochi digitali e a guardarsi le spalle, ma non hanno eliminato il problema alla radice. Finché vi saranno enormi profitti da estorcere e scappatoie giuridiche da sfruttare, i ransomware rimarranno una minaccia.