L’operazione ha riunito le forze dell’ordine di 26 Paesi e partner privati di INTERPOL, portando all’arresto di oltre 30 sospettati e all’eliminazione di oltre 20.000 indirizzi IP o domini malevoli connessi a cybercrimini legati a malware Infostealer
Infostealer è un tipo di malware progettato per sottrarre dati importanti degli utenti, comprese informazioni finanziarie, dati di accesso e cookie; questi dati vengono raccolti all’interno di file login e successivamente distribuiti dai cybercriminali all’interno di community nel dark web. Il team Digital Footprint Intelligence di Kaspersky ha rilevato che circa 26 milioni di dispositivi con sistema operativo Windows sono stati infettati da vari tipi di infostealer tra il 2023 e il 2024. In media, ogni 14° infezione causata da infostealer comporta il furto di informazioni di carte di pagamento.
L’operazione si è svolta tra gennaio e aprile 2025 e aveva lo scopo di individuare in modo preciso e interrompere le attività informatiche dannose legate agli Infostealer, localizzando i server, mappando le reti fisiche ed eseguendo takedown mirati. L’operazione è stata supportata dai partner privati di INTERPOL, tra cui Kaspersky, che hanno condiviso i loro dati delle infrastrutture dannose coinvolte nel controllo o nella distribuzione di malware Infostealing, inclusi i dati dei server di comando e controllo (C&C) del malware.
In totale, l’operazione ha esaminato quasi 70 versioni di malware infostealer e 26.000 IP e domini associati, sequestrando oltre 40 server coinvolti. A seguito dell’operazione, le autorità hanno avvertito oltre 216.000 vittime e potenziali vittime in modo da consentire loro di intervenire immediatamente, ad esempio cambiando le password, bloccando gli account o eliminando accessi non autorizzati.
I momenti più importanti della Secure Operation:
- In Vietnam, la polizia ha arrestato 18 sospettati, sequestrando i dispositivi dalle loro case e dai luoghi di lavoro. Uno dei leader del gruppo è stato scoperto con oltre 300 milioni di VND (11.500 dollari) in contanti, carte SIM e documenti di registrazione aziendale, evidenziando così un sistema di apertura e vendita di conti aziendali.
- In Sri Lanka e a Nauru, le autorità hanno effettuato irruzioni nelle case come parte dell’Operazione Secure, portando all’arresto di 14 persone – 12 in Sri Lanka e due a Nauru – e all’identificazione di 40 vittime.
- A Hong Kong, la polizia ha esaminato oltre 1.700 informazioni fornite da INTERPOL e ha identificato 117 server di comando e controllo ospitati da 89 fornitori di servizi Internet. Questi server sono stati utilizzati dai cybercriminali come hub principali per il lancio e la gestione di campagne malevole, tra cui phishing, frodi online e truffe sui social media.
Neal Jetton, Director of Cybercrime di INTERPOL, ha dichiarato: “INTERPOL continua a sostenere un’azione collaborativa e pratica per contrastare le minacce informatiche globali. La Secure Operation ha dimostrato ancora una volta la forza della condivisione di informazioni per disattivare le infrastrutture dannose e prevenire danni su larga scala a persone e aziende”.
“Le minacce informatiche non hanno confini e nemmeno la cooperazione internazionale riesce sempre a fermarle. Le aziende private, come prime linee di difesa, forniscono dati reali sulle minacce informatiche e la loro condivisione con le forze dell’ordine contribuisce ad arrestare definitivamente la propagazione delle minacce. La sicurezza informatica globale è una responsabilità collettiva e Kaspersky apprezza il ruolo svolto da INTERPOL nel riunire le parti interessate il cui contributo è necessario per creare un mondo digitale più sicuro”, ha commentato Yuliya Shlychkova, Vice President, Global Public Affairs, di Kaspersky.
Le minacce Infostealer stanno crescendo sempre di più e Kaspersky Digital Footprint Intelligence monitora continuamente il dark web per rilevare le credenziali compromesse, diffondere la consapevolezza di questa minaccia e condividere le strategie per mitigare i rischi associati.
Nel caso di rilevamento di una fuga di dati causata da malware infostealer, Kaspersky consiglia di:
- Intervenire tempestivamente nel caso in cui si sospetti che i dati della propria carta di credito siano stati diffusi: monitorare le notifiche della banca, richiedere una nuova carta e modificare la password dell’app o del sito web della banca. Attivare l’autenticazione a due fattori e altri metodi di verifica. Se i dati del conto e dell’estratto conto sono emersi in una fuga di dati, è necessario prestare particolare attenzione alle e-mail di phishing, agli SMS e alle telefonate fraudolente. I cybercriminali potrebbero sfruttare queste informazioni per attacchi mirati. In caso di situazioni poco chiare, contattare direttamente la propria banca.
- Modificare le password degli account compromessi e monitorare le attività sospette associate a tali account.
- Eseguire scansioni di sicurezza complete su tutti i dispositivi, rimuovendo qualsiasi malware rilevato.
- Poiché gli infostealer colpiscono sia i dispositivi personali che quelli aziendali, si raccomanda alle aziende di monitorare in modo proattivo i siti del dark web per individuare gli account compromessi prima che rappresentino un rischio per i clienti o i dipendenti. Una guida dettagliata per impostare il monitoraggio è disponibile al seguente link.
