L’operazione Bakovia ha portato all’arresto della banda di criminali informatici responsabili della diffusione delle famiglie di ransomware CTB Locker e Cerber

identità

Durante una recente indagine del team di ricerca di McAfee’s Advanced Threat, i ricercatori hanno intervistato gli attori dietro le campagne ransomware. Una delle scoperte più interessanti è stato il senso di assoluta sicurezza che i cybercriminali hanno durante le operazioni illegali. Il cybercrimine è un settore del crimine diverso dagli altri, viene percepito a basso rischio ma con alti profitti ed è proprio questo a renderlo così allettante ed in rapida crescita.

Con l’arresto di individui sospettati di infettare computer attraverso la diffusione del malware CTB Locker, è stato inviato un chiaro messaggio: il cybercrime non è a rischio zero.

Durante il 2016, un’enorme campagna ha colpito i Paesi Bassi. Le email in olandese sembravano provenire da uno dei più grandi provider Telco. L’oggetto delle email era quello dell’ultima bolletta, ma chiaramente non esisteva alcuna bolletta, ma CTB Locker che chiedeva circa 400 dollari di riscatto per riconsegnare i files della vittima. La grammatica e la lingua utilizzata nel testo dell’email era quasi perfetta, a differenza di quanto si era osservato in precedenza, e i nomi presenti erano la prova di una campagna ben organizzata. Solo nei Paesi Bassi sono stati riscontrati più di 200 casi. A causa del crescente numero di attacchi, la Dutch High Tech Crime Unit avvia le investigazioni, chiedendo assistenza al team di ricerca di McAfee’s Advanced Threat.

Il 14 dicembre ha inizio l’operazione Bakovia. La ricerca iniziale si è basata su informazioni relative al CTB Locker dei servizi segreti americani, che provavano che la stessa gang era legata anche alla distribuzione del ransomware Cerber.

Gli arresti

Durante alcune operazioni nella Romania dell’est, sono state perquisite di sei case, nelle quali gli investigatori hanno ritrovato un significativo quantitativo di hard-drive, laptop, memorie esterne e centinaia di SIM card. I sospettati sono stati arrestati per aver diffuso il ransomware CTB Locker e altri sospetti sono stati arrestati all’aeroporto di Bucharest con l’accusa di aver diffuso il ransomware Cerberus.