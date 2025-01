Le operazioni di polizia contro Crimenetwork, Manson Market e MATRIX

Threat Discovery è uno spazio editoriale di Telsy e TS-WAY dedicato all’approfondimento in ambito cyber threat intelligence a livello globale.

Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti di TS-WAY per la piattaforma TS-Intelligence.

In questo articolo forniamo i dettagli di tre diverse operazioni di Polizia internazionale, rivelate nei primi giorni di dicembre, che hanno portato al sequestro di due market criminali online e una piattaforma di messaggistica progettata per attività illegali.

Sequestrato il market online Crimenetwork

Il 3 dicembre 2024 la Procura pubblica di Francoforte sul Meno, l’Ufficio federale della Polizia criminale (BKA) e l’Ufficio Centrale per il contrasto dei crimini informatici (ZIT) hanno annunciato la disattivazione dei server della piattaforma Crimenetwork e l’arresto di uno degli amministratori.

Crimenetwork, attivo dal 2012, era considerato il più grande mercato online di lingua tedesca per l’economia sommersa, con oltre 100.000 utenti e più di 100 venditori. Si ritiene che abbia fornito supporto per lo scambio di beni e servizi illegali, in particolare dati rubati, sostanze illecite e documenti contraffatti.

Fra 2018 al 2024, Crimenetwork ha registrato profitti per almeno 1.000 BTC (allora circa 90 milioni di euro) e oltre 20.000 XMR (allora circa 3 milioni di euro). I gestori della piattaforma si riservavano commissioni comprese tra l’1% e il 5% del valore delle vendite.

Le Autorità hanno sequestrato prove, veicoli e criptovalute per un valore di circa 1 milione di euro.

Smantellato il network criminale che popolava Manson Market

A distanza di ventiquattro ore da quella prima pubblicazione, la procura della Bassa Sassonia e l’Ufficio centrale per la criminalità informatica presso la Procura di Verden (Germania) hanno reso pubblica un’indagine che ha portato alla scoperta di un sofisticato network, responsabile di aver facilitato frodi online in larga scala.

L’operazione – guidata dalla Germania, in stretta collaborazione con Europol e le Forze di Polizia di Austria, Repubblica Ceca, Finlandia, Paesi Bassi e Polonia – è iniziata nell’autunno del 2022, a seguito di segnalazioni relative ad una campagna di vishing in cui i truffatori si spacciavano per impiegati di banca e miravano ad estorcere informazioni sensibili, come indirizzi, date di nascita o risposte a domande di sicurezza.

I criminali sfruttavano anche una complessa rete di piattaforme commerciali fraudolente che indirizzavano gli acquirenti verso siti di phishing dove venivano esfiltrati dati personali e bancari.

Tali informazioni venivano poi scambiate su Manson Market, una piattaforma progettata per facilitare la selezione dei dati di interesse da parte dei potenziali acquirenti. In particolare, per massimizzare i ricavi, i venditori mettevano a disposizione dei clienti pacchetti di dati personalizzati.

Manson Market operava anche attraverso il canale freestuffbymanson – attivato in un popolare servizio di messaggistica legittimo – dove venivano condivisi gratuitamente dettagli delle carte di credito rubati.

Le infrastrutture collegate al market e ai falsi negozi online sono state smantellate in Germania, Finlandia, Paesi Bassi e Norvegia. Le Forze dell’Ordine hanno sequestrato oltre 50 server, riuscendo a raccogliere più di 200 terabyte di prove digitali. Due individui sospettati di connessioni con Manson Market sono stati arrestati in Germania e Austria, in base a mandati di arresto europei, e sono in custodia cautelare.

Disattivato il messenger criminale MATRIX

Sempre il 3 dicembre, Europol e la Polizia olandese hanno notificato la disattivazione di un sofisticato servizio di messaggistica criptata, chiamato MATRIX, che non ha nulla a che vedere con l’omonimo protocollo open source e decentralizzato, il quale continua ad operare in perfetta legalità.

MATRIX (alias Mactrix, Totalsec, X-quantum e Q-safe) è stato scoperto nel 2021 dalle autorità olandesi sul telefono di un individuo condannato per l’omicidio del giornalista Peter R. de Vries e viene descritto come una soluzione creata da criminali per uso criminale.

Il servizio forniva comunicazioni protette da crittografia end-to-end e la possibilità di navigare in Internet in modo anonimo. La sua infrastruttura era composta da più di 40 server, dislocati in diversi paesi europei, i più importanti dei quali si trovavano in Francia e Germania.

Gli aspiranti utenti potevano sottoscrivere un abbonamento semestrale – a prezzi che variavano fra i 1.300 e 1.600 euro – solo se invitati e ricevevano un telefono sul quale era stata installata l’applicazione.

L’operazione è stata condotta da un team investigativo congiunto (JIT) che ha coinvolto Autorità francesi e olandesi, con il supporto di Eurojust ed Europol. La Task Force operativa (OTF), istituita a giugno 2024, ha coinvolto Paesi Bassi, Francia, Lituania, Italia, Germania e Spagna. Perquisizioni e arresti hanno avuto luogo in Francia, Spagna e Paesi Bassi.

Gli investigatori hanno violato i server di MATRIX e monitorato i messaggi degli utenti per tre mesi. Nel complesso, sono stati intercettati e decifrati oltre 2,3 milioni di messaggi in 33 lingue, molti dei quali collegati a reati gravi, come il traffico internazionale di droga, il traffico di armi e il riciclaggio di denaro.

Inoltre, sono stati sequestrati beni per più di 15 milioni di euro e sono stati arrestati un cittadino lituano, presunto titolare e gestore del servizio, e un olandese che avrebbe partecipato attivamente al servizio per un periodo di tempo limitato.

Si stima l’attivazione di circa 8.000 utenze a livello globale. Sui telefoni intercettati dalla Polizia è stata inviata una “splash page” che notifica l’esito dell’operazione.

