Cos’è e come agisce Evil Corp, il gruppo criminale informatico russo: milioni di password violate e criptovalute bloccati

Operazione Endgame: l’Europol, insieme a partner di tutto il mondo, ha smantellato l’infrastruttura criminale responsabile di ransomware e malware come SocGholish, Amadey e StealC.

Un durissimo colpo quello inferto alle reti di criminali informatici. L’obiettivo principale era quello di interrompere le catene di montaggio utilizzate dai malviventi per lanciare ransomware, frodi finanziarie e attacchi alle infrastrutture critiche.

Cos'è e come agisce Evil Corp, il gruppo criminale informatico russo
Cos’è e come agisce Evil Corp, il gruppo criminale informatico russo: milioni di password violate e criptovalute bloccati (EUROPOL FOTO) – Notizie.com

Sono state individuate, segnalate e bloccate criptovalute per un valore attuale di oltre 41 milioni di euro. Sono stati recuperati ben 27 milioni di credenziali di accesso rubate. Le forze dell’ordine e i partner del settore privato hanno bloccato 326 server e 142 domini, paralizzando gravemente la rete di distribuzione del malware.

Le varianti di malware neutralizzate venivano offerte come servizio (cybercrime-as-a-service), e altri criminali informatici le utilizzavano come strumento per l’infezione iniziale dei sistemi bersaglio. Successivamente, fungevano da punto di partenza per ulteriori attività, come l’installazione di ransomware per estorcere denaro o per l’uso fraudolento dei dati.

L’hacking di siti web creati con WordPress

Il malware SocGholish (un cosiddetto dropper/loader) consentiva a terzi non autorizzati di accedere ai sistemi informatici distribuendo falsi aggiornamenti del browser tramite siti web compromessi. Invece dell’aggiornamento, gli utenti installavano inavvertitamente il malware. Questo metodo, che ha causato innumerevoli vittime, si basa principalmente sull’hacking di siti web creati con WordPress e sulla loro infezione con malware.

L’accesso non autorizzato veniva poi sfruttato per commettere ulteriori reati, come l’installazione di ransomware a scopo di estorsione digitale. Il malware StealC (un cosiddetto stealer con funzione dropper), diffuso attraverso molteplici vettori di attacco, era principalmente progettato per estrarre informazioni sensibili come password, dati di accesso memorizzati e identità digitali dai computer compromessi e per renderle disponibili per un successivo utilizzo illecito, in particolare per il commercio di dati e per scopi fraudolenti.

Cos'è Evil Corp, il gruppo criminale informatico russo
L’hacking di siti web creati con WordPress (EUROPOL FOTO) – Notizie.com

Il malware Amadey (un dropper/loader) si è diffuso principalmente tramite campagne di phishing. Ha quindi rappresentato il primo anello di una catena di attacco più ampia ed era in grado di introdurre ulteriore malware nei sistemi compromessi. Il malware possedeva anche capacità di furto di dati e poteva quindi sottrarre informazioni sensibili.

Durante l’operazione contro SocGholish, sono stati ripristinati 14.971 siti web infetti, tra cui quelli di ristoranti, officine meccaniche e altri servizi. SocGholish è collegato al gruppo criminale informatico russo Evil Corp. Questo gruppo è stato in passato responsabile dei malware Zeus e Dridex ed è anche associato a diverse operazioni di ransomware su larga scala e riciclaggio di denaro.

Il malware stabilisce una connessione con gli hacker

SocGholish è anche conosciuto come FakeUpdates. Il suo malware si diffonde tramite falsi aggiornamenti software, ad esempio per i browser internet. Quando qualcuno installa un falso aggiornamento, il malware stabilisce una connessione con gli hacker, che successivamente ottengono l’accesso al sistema informatico. Con questo cosiddetto accesso iniziale, è possibile installare software ancora più pericoloso.

L’operazione ha segnato un cambio di strategia: invece di concentrarsi esclusivamente sulle singole minacce, Europol, le forze dell’ordine e le autorità giudiziarie, insieme a partner del settore privato, hanno interrotto l’intera catena che consente agli attacchi informatici di diffondersi su larga scala. Amadey e StealC, due malware ampiamente utilizzati, sono stati presi di mira da Microsoft in modo congiunto a causa della loro interconnessione.

Amadey ottiene l’accesso iniziale ai dispositivi, mentre StealC estrae password e dati sensibili. Insieme, costituiscono un anello cruciale nella catena di approvvigionamento del cybercrimine. Secondo i dati raccolti da Microsoft, solo nelle prime due settimane di maggio 2026, Amadey e StealC sono stati collegati a oltre 140mila computer infetti in tutto il mondo.