Il DOJ sequestra 2,8 milioni di dollari in criptovalute legate al ransomware Zeppelin

Il Dipartimento di Giustizia degli Stati Uniti (DOJ) mercoledì ha reso pubblici sei mandati federali che autorizzano il sequestro di oltre 2,8 milioni di dollari in criptovalute, insieme a 70.000 dollari in contante e un veicolo di lusso, da un uomo accusato di gestire il noto e ora defunto schema di ransomware Zeppelin.

Secondo il DOJ, il sospetto, Ianis Aleksandrovich Antropenko, è accusato tramite atto d’accusa nel Distretto Settentrionale del Texas di cospirazione per commettere frode e abuso informatico, frode e abuso informatico, e cospirazione per commettere riciclaggio di denaro.

“Come sostenuto nei mandati resi pubblici, le criptovalute e altri beni sono proventi di (o sono stati coinvolti nel riciclaggio dei proventi di) attività di ransomware,” hanno dichiarato i funzionari del DOJ in un comunicato stampa giovedì.

I pubblici ministeri federali sostengono che Antropenko abbia utilizzato il ransomware Zeppelin tra il 2019 e il 2022 per colpire vittime in tutto il mondo, comprese persone, ospedali, aziende e fornitori di IT negli Stati Uniti.

In particolare, lui e i suoi associati hanno crittografato i dati delle vittime, rubato file sensibili e poi richiesto pagamenti in criptovaluta dalle vittime per riottenere l’accesso ai loro dati, prevenire la loro divulgazione o farli eliminare permanentemente.

Dopo aver raccolto i pagamenti del riscatto, Antropenko avrebbe tentato di cancellare le sue tracce riciclando i fondi attraverso diversi canali, incluso il servizio di mixing di criptovalute ora defunto ChipMixer, che è stato chiuso in un’operazione internazionale coordinata nel 2023. I pubblici ministeri affermano che ha anche convertito criptovaluta in contante e ha effettuato depositi in contante strutturati — suddividendo grandi somme in importi più piccoli per evitare controlli da parte delle autorità bancarie.

Gli agenti federali hanno ricostruito la pista dei soldi utilizzando l’analisi della blockchain, identificando infine portafogli di criptovaluta contenenti Ethereum (ETH), USD Tether (USDT) e USD Coin collegati ad Antropenko. Hanno collegato conti Binance a nome di Antropenko allo schema di riciclaggio.

Gli uffici del FBI di Dallas e Norfolk e l’Unità delle Attività Virtuali stanno indagando sull’attività di ransomware di Antropenko. Dal 2020, la Sezione Crimine Informatico e Proprietà Intellettuale del Dipartimento di Giustizia (CCIPS) ha dichiarato di aver assicurato oltre 180 criminali informatici e ottenuto ordini del tribunale per il ritorno di oltre 350 milioni di dollari in fondi delle vittime.

Secondo i funzionari, i beni recuperati da Antropenko saranno aggiunti alla riserva di beni digitali del governo, un sistema lanciato con un ordine esecutivo nel marzo 2025. La riserva è progettata per gestire criptovalute raccolte attraverso la confisca criminale, fornendo alle autorità federali un modo strutturato per tracciare e gestire correttamente i beni digitali legati al crimine mentre i casi si muovono attraverso i tribunali.

“CCIPS e i suoi partner hanno anche interrotto più gruppi di ransomware, impedendo alle vittime di dover pagare oltre 200 milioni di dollari in pagamenti di riscatto,” ha aggiunto il DOJ.

Informazioni sul ransomware Zeppelin

Il ransomware Zeppelin è apparso per la prima volta alla fine del 2019 come Ransomware-as-a-Service (RaaS) derivato dalla famiglia di ransomware VegaLocker/Buran, con un particolare focus su aziende sanitarie e IT. Sebbene il gruppo sia riemerso con nuove versioni nel 2021, le sue operazioni si sono fermate entro novembre 2022.

I ricercatori di sicurezza hanno successivamente rivelato di aver ottenuto accesso a una chiave di decrittazione master già nel 2020, che ha aiutato silenziosamente molte vittime a recuperare i dati dei loro file gratuitamente. Nel gennaio 2024, il codice sorgente del ransomware era stato venduto su un forum di hacking per soli 500 dollari, segnando il suo declino e la sua mercificazione.