Le forze dell’ordine di tutto il mondo, coordinate da Europol, hanno smantellato tre importanti operazioni di criminalità informatica in una recente repressione denominata “Operazione Endgame”. Gli obiettivi includevano l’infostealer Rhadamanthys, la botnet Elysium e il trojan di accesso remoto VenomRAT, tutti attori chiave del crimine informatico internazionale. Durante l’operazione sono stati sequestrati oltre 1.000 server e uno dei principali sospettati dietro VenomRAT è stato arrestato in Grecia il 3 novembre.
L’operazione evidenzia una realtà critica: lo smantellamento delle infrastrutture del crimine informatico è una battaglia continua, spesso descritta come uno scenario “colpisci la talpa”. Una volta neutralizzata una minaccia, ne emerge rapidamente un’altra che ne prende il posto.
Gli obiettivi: cosa stavano facendo?
Rhadamanthys è un infostealer progettato per estrarre dati sensibili da dispositivi infetti, incluse password e chiavi di portafogli di criptovaluta. Il malware ha acquisito importanza dopo la rimozione di Lumma, un altro popolare infostealer, all’inizio del 2023. A ottobre, Rhadamanthys aveva compromesso oltre 12.000 vittime, rendendolo uno dei malware per il furto di informazioni più diffusi in circolazione. Il sospettato dietro Rhadamanthys aveva accesso a oltre 100.000 portafogli crittografici, potenzialmente per un valore di milioni di euro.
Elysium funzionava come una botnet, una rete di computer compromessi controllati in remoto dagli aggressori. Le botnet vengono utilizzate per una serie di attività dannose, inclusi attacchi DDoS (Distributed Denial of Service) e campagne di spam.
VenomRAT è un trojan di accesso remoto (RAT) che consente agli aggressori di ottenere il pieno controllo sui sistemi infetti. I RAT vengono spesso utilizzati per lo spionaggio, il furto di dati e la distribuzione di malware aggiuntivo.
Il ciclo di adattamento
L’ascesa di Rhadamanthys dopo la rimozione di Lumma illustra una tendenza chiave nel crimine informatico: i criminali si adattano rapidamente. Quando uno strumento viene neutralizzato, ne emerge un altro, spesso inizialmente meno conosciuto, per riempire il vuoto. Questo è il motivo per cui le forze dell’ordine e le società di sicurezza informatica descrivono la lotta come infinita.
Rhadamanthys si è inizialmente diffuso attraverso pubblicità dannose di Google prima di guadagnare terreno nei forum clandestini. Il drammatico aumento delle vittime del malware dopo la rimozione di Lumma sottolinea la facilità con cui i criminali possono passare a nuovi strumenti.
La realtà del “Colpisci la talpa”.
Ryan English, ricercatore presso Black Lotus Labs, spiega che questa è una sfida fondamentale nel crimine informatico. “Sappiamo che altri prenderanno il loro posto, quindi continuiamo a monitorare per vedere chi emergerà da questo”, ha detto. Il settore può solo contrastare le minacce non appena emergono, ma il problema di fondo rimane: i criminali troveranno sempre nuovi modi per sfruttare le vulnerabilità.
Lo smantellamento di queste operazioni rappresenta una vittoria significativa per le forze dell’ordine, ma non risolve il problema più ampio. Il panorama delle minacce è in continua evoluzione e inevitabilmente emergeranno nuovi ceppi di malware per sostituire quelli che sono stati rimossi.
Perché è importante
Il ciclo continuo di rimozione e ricomparsa evidenzia la necessità di un approccio più proattivo alla sicurezza informatica. Interrompere semplicemente le minacce esistenti non è sufficiente; le organizzazioni e gli individui devono dare priorità alla prevenzione, all’educazione e a solide pratiche di sicurezza. La battaglia contro la criminalità informatica non consiste solo nel catturare i criminali; si tratta innanzitutto di ridurre le opportunità di successo.
Il fatto che Rhadamanthys abbia rapidamente riempito il vuoto lasciato da Lumma dimostra che i soli problemi tecnici non basteranno a vincere la guerra. Rimane il problema di fondo delle pratiche di sicurezza deboli, degli attacchi di phishing e delle vulnerabilità senza patch.
In definitiva, la lotta alla criminalità informatica è una maratona, non uno sprint. Le forze dell’ordine e il settore della sicurezza informatica devono continuare ad adattarsi e a innovarsi, ma anche gli individui e le organizzazioni devono assumersi la responsabilità della propria sicurezza
