Operazione congiunta smantella gruppo ransomware Ragnar Locker

Un'operazione congiunta tra forze di polizia e autorità giudiziarie di 11 paesi ha inflitto un duro colpo al gruppo responsabile del ransomware Ragnar Locker, considerato una delle organizzazioni più pericolose degli ultimi anni. Coordinata da Europol ed Eurojust, l'azione ha portato all'arresto del presunto artefice del ransomware, conosciuto come "key target", a Parigi. Le perquisizioni sono state effettuate in Repubblica Ceca, Spagna e Lettonia, mentre in Olanda, Germania e Svezia sono state confiscate le infrastrutture utilizzate dal gruppo per condurre gli attacchi. Il sito di data leak su Tor è stato bloccato in Svezia. La collaborazione internazionale che ha portato all'operazione coinvolge Francia, Paesi Bassi, Spagna, Germania, Ucraina, Stati Uniti, Giappone, Italia, Svezia, Repubblica Ceca e Lettonia.

L'infame Ragnar Locker: funzionamento e obiettivi

Ragnar Locker è un ransomware attivo dal dicembre 2019 ed è sia il nome del codice dannoso che del gruppo criminale responsabile. Conosciuto per gli attacchi ad infrastrutture critiche in tutto il mondo, i recenti obiettivi del gruppo includono la compagnia aerea nazionale portoghese e un ospedale in Israele. Questo ransomware prendeva di mira i dispositivi con sistema operativo Microsoft Windows, sfruttando principalmente servizi esposti come il Remote Desktop Protocol per accedere ai sistemi. Ragnar Locker era famoso per la doppia estorsione: richiedeva pagamenti esorbitanti per rilasciare gli strumenti di decrittazione e per evitare la pubblicazione dei dati sensibili rubati. Data la propensione del gruppo ad attaccare le infrastrutture critiche, il livello di minaccia di Ragnar Locker era considerato elevato.

La dura risposta di Ragnar Locker alle autorità

In un'ironica parodia di comunicazione, Ragnar Locker metteva gli avvertimenti direttamente alle sue vittime, sconsigliando loro di contattare le forze dell'ordine e minacciando di pubblicare tutti i dati rubati sul suo sito Dark Web "Wall of Shame". "Tutto ciò che FBI e negoziatori/investigatori del ransomware fanno è complicare le cose, perciò pubblicheremo i vostri dati se chiedete aiuto", recitava l'annuncio del gruppo. Ciò che Ragnar Locker non sapeva era che proprio le forze dell'ordine stavano per chiudersi attorno a loro. Nel mese di ottobre 2021, gli investigatori della Gendarmeria francese e dell'FBI statunitense, supportati da Europol e INTERPOL, sono stati inviati in Ucraina per attuare misure investigative con la Polizia nazionale ucraina, che hanno portato all'arresto di due importanti membri del gruppo Ragnar Locker.

Collaborazione internazionale per combattere il ransomware

L'indagine coordinata da Eurojust è iniziata nel maggio 2021 su richiesta delle autorità francesi. L'enorme sforzo di cooperazione internazionale ha coinvolto diverse forze di polizia e agenzie giudiziarie, tra cui la Gendarmeria francese, l'FBI statunitense, Europol e INTERPOL. L'obiettivo era stabilire una strategia comune per smantellare il gruppo Ragnar Locker e portare i responsabili di questi attacchi criminogeni alla giustizia. A sostegno delle autorità coinvolte, Europol ha fornito supporto analitico, tecnico e forense, creando un comando virtuale per coordinare l'azione di tutte le agenzie. L'operazione contro Ragnar Locker invia un forte messaggio agli operatori di ransomware che pensano di poter agire impunemente: la cooperazione internazionale è fondamentale per combattere queste organizzazioni e ogni caso ci aiuta a migliorare i nostri modelli di indagine e la comprensione di queste minacce.