Operazione Tovar
Operazione Tovar è un'operazione condotta congiuntamente da forze di polizia di vari Paesi contro il botnet Gameover ZeuS, che secondo gli investigatori è stato usato in una truffa bancaria e nella distribuzione del ransomware CryptoLocker.[1]
Vi partecipano U.S. Department of Justice, Europol, FBI e la britannica National Crime Agency, South African Police Service, oltre a numerose società e studiosi in ambito sicurezza,[2][3] tra cui Dell SecureWorks, Deloitte Cyber Risk Services, Microsoft Corporation, Abuse.ch, Afilias, F-Secure, Level 3 Communications, McAfee, Neustar, Shadowserver, Anubisnetworks, Symantec, Heimdal Security, Sophos e Trend Micro, e ricercatori scientifici di Carnegie Mellon University, Georgia Institute of Technology,[4] VU University Amsterdam e Università del Saarland.[4]
Concorrono anche altri organismi di polizia quali Australian Federal Police; National High Tech Crime Unit (National Police of the Netherlands); European Cybercrime Centre (EC3); Bundeskriminalamt (Germania); Direction centrale de la Police judiciaire (Francia); Polizia Postale e delle Comunicazioni (Italia); Agenzia nazionale di polizia (Giappone); Police Grand-Ducale (Lussemburgo); New Zealand Police; Royal Canadian Mounted Police; e Division for Combating Cyber Crime (Ucraina). Anche il Defense Criminal Investigative Service dello U.S. Department of Defense ha partecipato alle indagini.[4]
Ai primi di giugno 2014 lo U.S. Department of Justice annunciò che l'operazione Tovar era momentaneamente riuscita ad interrompere la comunicazione tra Gameover ZeuS e i suoi server di comando e controllo.[1][2][4]
I criminali tentarono di mandare una copia del loro database in un posto sicuro, ma fu intercettato dagli organi che avevano già preso il controllo di una parte della rete. Il russo Evgeniy Bogachev, conosciuto con gli pseudonimi "lucky12345" e "slavik", fu accusato dall'FBI di essere il capobanda dei malfattori che animavano Gameover ZeuS e CriptoLocker. Il database dimostra la vastità dell'attacco, e rende possibile la decifrazione di file compromessi da CryptoLocker.
Nell'agosto 2014 due imprese di sicurezza impegnate nell'arresto, Fox-IT e FireEye, crearono un portale, chiamato Decrypt Cryptolocker,[5] che permette ad ognuna delle 500 000 vittime di trovare la chiave che sblocca i suoi file. È necessario che le vittime mandino un loro file "bloccato" non contenente informazioni sensibili, che permette agli "sbloccatori" di dedurre quale chiave crittografica fosse stata usata. Non si riescono a decrittare proprio tutti i file infetti da CryptoLocker, né tantomeno file criptati con un ransomware differente.[6][7]
L'analisi dei dati divenuti disponibili dopo lo smantellamento della rete indicava che circa l'1,3% degli infettati avesse pagato il riscatto; molti avevano potuto recuperare file di cui avevano un backup, e altri presumibilmente hanno perso enormi quantità di dati. Nondimeno, si ritenne che la banda avesse estorto circa 3 milioni di dollari americani.[6]
Note
[modifica | modifica wikitesto]- ^ a b Darlene Storm, Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet, su blogs.computerworld.com, Computerworld, 2 giugno 2014. URL consultato il 7 ottobre 2020 (archiviato dall'url originale il 3 luglio 2014).
- ^ a b Brian Krebs, ‘Operation Tovar’ Targets ‘Gameover’ ZeuS Botnet, CryptoLocker Scourge, su krebsonsecurity.com, Krebs on Security, 2 giugno 2014.
- ^ John E. Dunn, Operation Tovar disconnects Gameover Zeus and CryptoLocker malware - but only for two weeks, su news.techworld.com, TechWorld, 2 giugno 2014. URL consultato il 7 ottobre 2020 (archiviato dall'url originale il 6 giugno 2014).
- ^ a b c d U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator, su justice.gov, U.S. Department of Justice, 2 giugno 2014.
- ^ Decrypt Cryptolocker Web site Archiviato il 7 agosto 2014 in Internet Archive.
- ^ a b BBC News: Cryptolocker victims to get files back for free, 6 August 2014
- ^ FireEye:Your Locker of Information for Cryptolocker Decryption, 6 August 2014, su fireeye.com. URL consultato il 7 ottobre 2020 (archiviato dall'url originale l'8 agosto 2014).