Un colpo durissimo al cybercrimine internazionale. Europol ha annunciato lo smantellamento di un’infrastruttura massiccia composta da oltre 1.025 server utilizzati dai criminali informatici per orchestrare attacchi su scala globale. L’operazione, condotta tra il 10 e il 13 novembre, rappresenta l’ultima fase della Operation Endgame, un’indagine complessa avviata oltre un anno fa che sta ridefinendo gli standard della lotta al crimine digitale. Quello che rende questa operazione eccezionale non è solo la portata numerica, ma la collaborazione senza precedenti tra forze dell’ordine di 11 paesi diversi e 13 partner privati del settore cybersicurezza. Australia, Belgio, Canada, Danimarca, Francia, Germania, Grecia, Lituania, Paesi Bassi, Regno Unito e Stati Uniti hanno unito le forze insieme a giganti della sicurezza informatica come CrowdStrike, Bitdefender, Proofpoint e altri attori chiave del settore.
Ma cosa si nascondeva dietro questi server? Tre malware particolarmente insidiosi che hanno fatto danni per milioni di euro. Rhadamanthys è un infostealer sofisticato, progettato per rubare credenziali di accesso, cookie di autenticazione e qualsiasi dato sensibile presente sui dispositivi compromessi. VenomRAT è invece un Remote Access Trojan che garantisce ai criminali l’accesso completo ai computer delle vittime, permettendo loro di agire nell’ombra come padroni invisibili del sistema. Infine Elysium, il malware che trasforma i dispositivi infettati in nodi di una botnet controllata dai cybercriminali. I numeri fanno impressione. Centinaia di migliaia di computer sono stati infettati in tutto il mondo, e i criminali sono riusciti a sottrarre milioni di credenziali. Particolarmente allarmante il dato sui wallet di criptovalute: oltre 100.000 portafogli digitali sono stati compromessi, con danni economici che si misurano in milioni di euro. In un’epoca in cui sempre più persone investono in Bitcoin, Ethereum e altre valute digitali, questo tipo di minaccia colpisce direttamente il portafoglio degli utenti.
L’operazione ha portato anche a risultati concreti sul fronte degli arresti. Il 3 novembre, in Grecia, è stato catturato il principale sospettato legato allo sviluppo e alla distribuzione di VenomRAT. Inoltre, sono stati sequestrati 20 domini utilizzati come punti di comando e controllo per coordinare gli attacchi. Ma sei stato colpito anche tu? È la domanda che molti si pongono dopo notizie di questo tipo. Per fortuna, Europol e i suoi partner hanno messo a disposizione strumenti di verifica gratuiti. La polizia olandese ha attivato un sito dedicato dove è possibile controllare se le proprie credenziali sono finite nelle mani sbagliate. Allo stesso modo, il celebre ricercatore di sicurezza Troy Hunt offre attraverso il suo servizio Have I Been Pwned la possibilità di verificare se email e password sono state compromesse in questo o in altri data breach.
Quello che emerge da questa operazione è il volto mutevole del cybercrimine moderno. Non parliamo più di hacker solitari che operano dalle loro camerette, ma di vere e proprie organizzazioni criminali strutturate che gestiscono infrastrutture tecnologiche complesse. I malware come Rhadamanthys vengono venduti come servizio ad altri criminali, in un modello di business che replica quello delle aziende legittime: c’è chi sviluppa il software, chi gestisce l’infrastruttura, chi si occupa del supporto tecnico agli “clienti”. E la minaccia è in continua evoluzione. Europol stessa ammette che la Operation Endgame non è conclusa, anzi. Sono in corso altre indagini parallele che porteranno a risultati simili nei prossimi mesi. Tuttavia, c’è un problema di fondo: i cybercriminali dispongono di risorse economiche enormi, accumulate attraverso anni di attività illecite, che permettono loro di ricostruire rapidamente nuove infrastrutture quando quelle vecchie vengono smantellate.
La tendenza più preoccupante riguarda la formazione di supergruppi criminali. Organizzazioni diverse uniscono le forze, condividono strumenti, tecniche e infrastrutture per massimizzare l’efficacia degli attacchi. Un esempio emblematico è Scattered Lapsus$ Hunters, nato dalla collaborazione tra tre gruppi già noti singolarmente: Scattered Spider, Lapsus$ e ShinyHunters. Questa fusione di competenze e risorse rende gli attacchi più sofisticati e difficili da contrastare. Per gli utenti comuni, la lezione è chiara: la sicurezza informatica non è più un optional. Utilizzare password complesse e diverse per ogni servizio, attivare l’autenticazione a due fattori dove possibile, mantenere aggiornati i sistemi operativi e i software di sicurezza sono pratiche essenziali. E quando si parla di criptovalute, la prudenza dev’essere massima: wallet hardware, piattaforme certificate e una dose sana di scetticismo verso offerte troppo allettanti possono fare la differenza tra proteggere i propri investimenti e vederli sparire nel nulla digitale.
