Una recente operazione internazionale di polizia ha portato allo smantellamento di un importante gruppo criminale online che forniva servizi di crypting a criminali informatici. Il Dipartimento di Giustizia degli Stati Uniti (DoJ), in collaborazione con le autorità di Olanda e Finlandia, ha sequestrato quattro domini, tra cui AvCheck.net, Cryptor.biz e Crypt.guru, che ora mostrano un avviso di sequestro. Questi servizi permettevano agli attori malevoli di rendere i propri malware invisibili ai software di sicurezza, facilitando così attacchi informatici difficili da rilevare.

Il crypting e i servizi sequestrati

Il crypting è una tecnica che utilizza software per modificare il codice malevolo in modo da eludere i controlli degli antivirus. I servizi sequestrati offrivano strumenti come counter-antivirus (CAV) che, uniti al crypting, consentivano di offuscare il malware e garantire accesso non autorizzato ai sistemi delle vittime. Le indagini hanno coinvolto anche altri paesi europei come Francia, Germania, Danimarca, Portogallo e Ucraina, dimostrando l’ampiezza dell’operazione.

Investigazione e servizi offerti

Gli investigatori hanno effettuato acquisti sotto copertura per analizzare i servizi offerti e confermare il loro utilizzo per fini criminali. Secondo fonti olandesi, AvCheck era uno dei maggiori servizi CAV utilizzati da cybercriminali globali. Il sito consentiva agli utenti registrati di verificare i propri file contro 26 motori antivirus e di controllare domini e indirizzi IP con 22 motori e blocklist, offrendo così un servizio rapido e sofisticato per testare l’individuabilità del malware.

Operazione Endgame e recenti interventi

Il sequestro dei domini si inserisce nell’ambito dell’Operazione Endgame, una campagna internazionale avviata nel 2024 per contrastare la criminalità informatica. È il quarto importante intervento in poche settimane, dopo le azioni contro Lumma Stealer, DanaBot e ulteriori sequestri di server e domini legati a ransomware.

Evoluzione delle tecniche criminali

L’operazione evidenzia come i criminali informatici puntino sempre più a perfezionare il malware grazie ai servizi di crypting, riuscendo a superare firewall e analisi forensi. Recenti campagne, come quella che sfrutta il malware PureCrypter, mostrano come queste tecniche vengano utilizzate anche per distribuire stealer come Lumma e Rhadamanthys. PureCrypter, venduto su forum underground e distribuito tramite Telegram, offre strumenti avanzati per aggirare le più recenti difese di Windows, inclusi sistemi di patch in memoria e tecniche anti-analisi.

Le società di sicurezza informatica sottolineano inoltre come il marketing di questi servizi enfatizzi la capacità di essere “Fully UnDetected”, spesso mostrando risultati manipolati rispetto alle reali capacità degli antivirus.