Operazione Endgame colpisce ancora: arrestato il crittografo di Conti e LockBit

Un individuo russo di 28 anni è stato arrestato a Kiev dalle forze di polizia informatica ucraine per la sua presunta collaborazione con i gruppi ransomware Conti e LockBit. Si tratta di un arresto che fa parte di un'operazione di vasta portata denominata "Operation Endgame", di cui abbiamo parlato nelle scorse settimane, e che ha l'obiettivo di smantellare diverse botnet utilizzate per la distribuzione di malware e di dare la caccia ai loro principali operatori.

L'indagine che ha portato all'arresto di questo individuo è stata supportata da informazioni condivise dalla polizia olandese, che aveva risposto a un attacco ransomware contro una multinazionale olandese, seguito da un'estorsione per furto di dati. Le prove raccolte durante questa indagine hanno portato gli investigatori a individuare l'hacker russo, il quale ha messo a disposizione le sue capacità crittografiche, dietro pagamento, sia al gruppo Conti che a LockBit.

Secondo le autorità ucraine, l'uomo arrestato era uno specialista nello sviluppo di crypter personalizzati, utilizzati per impacchettare i payload ransomware in modo da renderli completamente non rilevabili dai prodotti antivirus più diffusi e aumentare significativamente le possibilità di successo degli attacchi ransomware.

La polizia olandese ha confermato almeno un caso, avvenunto nel 2021, in cui l'uomo arrestato ha orchestrato direttamente un attacco ransomware utilizzando un payload Conti, operando quindi come affiliato per trarne il massimo profitto.

Gli elementi posti sotto sequestro dalle autorità ucraine

Durante l'operazione di arresto, le forze dell'ordine ucraine, insieme all'unità speciale "TacTeam" del battaglione TOR DPP, hanno eseguito perquisizioni a Kiev e nella regione di Kharkiv, su richiesta internazionale delle autorità olandesi. In queste perquisizioni, sono state sequestrate apparecchiature informatiche, telefoni cellulari e appunti scritti a mano.

L'indagine sulle attività di questo programmatore e sul suo preciso coinvolgimento negli attacchi dei gruppi Conti e LockBit è attualmente in corso. L'uomo è però già stato accusato della violazione dell'articolo 361 del Codice Penale Ucraino (Interferenza non autorizzata nei sistemi informatici e di comunicazione elettronica), reato che potrebbe comportare una pena detentiva fino a 15 anni.