Passa ai contenuti principali

Operazione ELICIUS, anatomia di un ransomware group smantellato dalla Polizia Postale

L’Operazione ELICIUS, nota anche come smantellamento della gang “Diskstation”, è stata condotta dalla Polizia Postale di Milano con il supporto di Europol e la collaborazione delle forze di polizia rumene e francesi. L’indagine ha preso avvio dalle segnalazioni di aziende italiane e onlus vittime di attacchi ransomware mirati, in cui i criminali cifravano sistemi e dati e richiedevano riscatti in criptovalute.

Gli hacker utilizzavano payload ransomware per cifrare file critici sui server aziendali, interrompendo ogni attività fino al pagamento richiesto. Dietro questi attacchi si celava un’infrastruttura avanzata: reti di comando e controllo distribuite, server in Romania (e migrati in alternativa su VPN/relay in Francia e altri paesi) e canali comunicativi criptati .

Il gruppo impiegava tecniche OSINT per selezionare obiettivi vulnerabili, avviando campagne di phishing mirato e sfruttando falle note o credenziali rubate. Dopo l’accesso iniziale, installavano ransomware e strumenti di comunicazione cifrata per negoziare da remoto. Le comunicazioni venivano incrociate con pattern di rete, tempistiche di accesso e geolocalizzazione implicita. Questi dati fornirono agli investigatori un quadro preciso di attori e meccanismi .

Parallelamente, gli investigatori della Postale hanno condotto intercettazioni autorizzate su canali VoIP cifrati, geolocalizzato i dispositivi coinvolti e mappato la rete logistica digitale: router, VPN, server compromessi, strumenti di criptazione e dispositivi usati per accedere alle vittime. Hanno utilizzato correlazioni temporali tra risate di comando e variazioni di traffico dati per identificare la posizione dei server di comando e controllo.

Il ruolo della cooperazione internazionale è stato cruciale: la task force coordinata da Europol ha permesso l’arresto del leader a Bucarest, dopo aver ricondotto la sorgente degli attacchi al gruppo rumeno. Il sequestro di dispositivi e l’analisi forense hanno confermato l’uso di ransomware professionali, wallet bitcoin e infrastrutture relay.

L’Operazione ELICIUS dimostra come la Polizia Postale, grazie al CNAIPIC, abbia integrato tecniche OSINT, telemetria di rete, intercettazioni VoIP e cooperazione internazionale in un’azione coordinata. È un modello operativo che dimostra come la prevenzione non si limiti alla risposta agli attacchi, ma includa monitoraggio continuo di infrastrutture critiche, alerting proattivo, segnalazioni di indicatori di compromissione (IoC) e attività forense post-incidente.

Nel caso Diskstation, l’approccio tecnico ha seguito il flusso completo: raccolta OSINT preliminare, compromissione via phishing e credential stuffing, cifratura ransomware, negoziazione via canali criptati, esfiltrazione e pagamento in criptovalute, e infine smantellamento dell’infrastruttura tramite arresti e sequestri. Questo workflow conferma una maturità investigativa orientata alla disruption completa delle attività criminali, non solo alla mera risposta reattiva.
Tag:

Commenti

Posta un commento

Popolari

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »

Italia, via libera al contrattacco cyber. Il nostro Paese ora può rispondere colpo su colpo

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...
Posta un commento
Continua a leggere »