From Hunter to Hunted: come il BKA priva i cybercriminali delle loro fondamenta
Intervento di Carsten Meywirth, Direttore della Cybercrime Division del Bundeskriminalamt, alla 14ª Cyber Crime Conference
Alla quattordicesima edizione della Cyber Crime Conference, Carsten Meywirth ha tracciato un quadro lucido e operativo del modo in cui la polizia federale tedesca affronta oggi la minaccia cibernetica. Forte di quarantadue anni in polizia, di cui nove dedicati al contrasto del cybercrime, dal 2020 dirige una divisione che ha ridisegnato in profondità l’approccio investigativo del BKA, adottando quella che lui stesso definisce una mentalità «innovativa e adattiva», necessaria per stare al passo con avversari capaci di proporre ogni giorno tecniche e modelli operativi nuovi. Il titolo dell’intervento, From Hunter to Hunted, ne riassume il filo conduttore: privare i criminali delle infrastrutture, delle finanze, dell’anonimato e della reciproca fiducia che ne costituiscono le fondamenta.
La struttura e la missione della Cybercrime Division
La divisione conta oggi circa 300 persone, con un tetto fissato a 350 unità. Un terzo del personale è composto da esperti di sicurezza informatica e ICT, due terzi da ufficiali di polizia, in un team che Meywirth ha descritto come «giovane e wild». La missione operativa è duplice: contrastare il cyber-dependent crime, ossia i reati che hanno la rete come strumento e ambiente esclusivo, e indagare sugli amministratori e i gestori dei marketplace illegali nel darknet. Dal 2026, inoltre, all’interno del BKA tutte le investigazioni contro gli state actors sono confluite in questa stessa divisione, che assume così anche la responsabilità del contrasto alle minacce a matrice politica e geopolitica.
Negli ultimi dodici anni il BKA ha costruito un data lake dedicato alle indagini cyber, con risorse strumentali rilevanti e una postura strategica fortemente data-driven. La divisione affianca i Länder nelle indagini di competenza locale, fungendo da agenzia centrale per il livello federale.
Lo stato del crimine cibernetico
Le cifre presentate da Meywirth restituiscono la fotografia di un fenomeno in costante crescita. Secondo il Google Mandiant 2026, gli attacchi ransomware sono aumentati del 50% nell’ultimo anno. Il Chainalysis Crime Report 2026 stima in 154 miliardi di dollari il valore complessivo dei wallet riconducibili ad attività criminali, con un incremento annuo del 25%. L’Allianz Risk Barometer 2026 colloca il cybercrime al primo posto fra le preoccupazioni dei manager tedeschi, indicato dal 52% degli intervistati.
I danni stimati per le imprese tedesche nel 2025 ammontano a 202,4 miliardi di euro, una cifra equivalente a oltre il 40% del bilancio federale della Germania. Per illustrare la concretezza dell’impatto, Meywirth ha richiamato il caso, riportato da Focus il 21 giugno 2025, di una storica azienda dell’industria cartaria portata all’insolvenza da un attacco cyber: nessun computer funzionante, ordini impossibili da processare, oltre un quarto di milione di euro di forniture non evase il giorno successivo all’incidente, due settimane di produzione ferma in un mercato fortemente competitivo. «Non un campanello d’allarme, il fuoco vero e proprio», nella sintesi della cronaca.
Che cosa ha portato a questa escalation? Meywirth ne ha ricostruito le tappe principali. Intorno al 2015 si è strutturata una vera e propria economia criminale professionalizzata. La pandemia del 2020 ha trasformato l’attività dei gruppi da fuoco singolo a fuoco continuo. La guerra di aggressione russa contro l’Ucraina ha ulteriormente politicizzato l’ecosistema, intrecciando criminalità organizzata e finalità statuali. Oggi, l’intelligenza artificiale generativa mette nuovi strumenti operativi nelle mani degli attaccanti.
Anatomia di un gruppo criminale: il caso Conti
Una parte significativa dell’intervento è stata dedicata al funzionamento interno di Conti, ricostruito grazie a una circostanza inattesa. Nel 2022, dopo l’invasione russa dell’Ucraina, i vertici del gruppo (di matrice russa) dichiararono la propria lealtà a Mosca. Un affiliato ucraino dissenziente, di cui i leader ignoravano la nazionalità, decise allora di pubblicare l’intero archivio interno di chat e documenti.
Da quel materiale è emersa un’organizzazione articolata secondo un modello aziendale classico, con un CEO al vertice, un Chief Financial Officer, una Head of Office e tre macro-divisioni: Verwaltung (amministrazione, con HR e training & knowledge management), IT (con infrastruttura digitale e service desk operations) e Operations (a sua volta suddivisa in malware coding, malware crypting, counter antivirus, OSINT, tre team di hacking coordinati e un Kern-Team dedicato alle trattative con le vittime). I nuovi affiliati venivano reclutati online attraverso test a risposta multipla, lavoravano interamente in home office, ricevevano stipendi competitivi e conoscevano i propri superiori soltanto attraverso uno username. Il core group contava oltre cento persone.
Tre o quattro anni fa, ha ricordato Meywirth, il vertice di Conti ha compiuto una scelta strategica destinata a moltiplicare i profitti e a complicare il lavoro investigativo: la cessione del malware ad affiliati esterni secondo un modello in tutto e per tutto assimilabile a un franchise. Gli affiliati ricevevano il toolkit e un business plan dettagliato, trattenendo l’80% dei proventi e versando il restante 20% al core group.
Il BKA segnala inoltre un’evoluzione recente: i gruppi attivi oggi dedicano crescente attenzione all’immagine pubblica, sviluppando strategie di marketing e di re-branding per consolidare la propria reputazione nell’ecosistema criminale e nei confronti delle vittime.
Cybercrime-as-a-Service: il modello estorsivo e le sue evoluzioni
Lo schema commerciale che fa da cornice a tutto questo è ormai noto come Cybercrime-as-a-Service (CaaS) e si articola in due sotto-mercati principali: il Ransomware-as-a-Service, ovvero la fornitura del malware e dell’infrastruttura di attacco, e i Leaksites-as-a-Service, dedicati alla pubblicazione e monetizzazione dei dati esfiltrati.
Su queste fondamenta si è sviluppata una progressione precisa delle tecniche estorsive. La fase SINGLE comprende l’estorsione basata sulla sola cifratura dei dati oppure sulla sola esfiltrazione, con minaccia di pubblicazione (data extortion). La fase DOUBLE combina esfiltrazione e cifratura, accompagnate dalla minaccia di rendere pubblici i dati sottratti. La fase TRIPLE aggiunge un attacco DDoS per aumentare la pressione sulla vittima. Si è infine consolidata una SECOND STAGE estorsiva, in cui gli attaccanti contattano direttamente clienti e azionisti della vittima primaria, ricattati a loro volta con i dati esfiltrati per accelerare il pagamento del riscatto.
I quattro pilastri della strategia BKA
L’approccio operativo della Cybercrime Division si articola su quattro pilastri.
Il primo è l’actor approach, l’identificazione classica dei singoli autori. Si tratta del lavoro di polizia tradizionale, efficace in molti casi, ma con un limite strutturale: una quota rilevante dei criminali identificati risiede in safe havens, in primis la Federazione Russa, da cui non è possibile ottenere l’estradizione.
Il secondo pilastro, l’infrastructure approach, sposta il baricentro dell’azione investigativa dalle persone alle infrastrutture tecniche. L’obiettivo è ricostruire l’intero ecosistema di server, domini e servizi utilizzati dal gruppo criminale, per poi pianificarne lo smantellamento simultaneo attraverso una cooperazione internazionale coordinata.
Il terzo pilastro, il financial approach, interviene prima del takedown infrastrutturale e mira a tracciare e sequestrare le criptovalute custodite sui server criminali, sottraendo agli attaccanti la liquidità necessaria a ricostituire le proprie capacità operative.
Il quarto e più recente pilastro, introdotto nel 2024, è la disruptive communication. Nell’ambito di Operation Endgame, BKA e polizia olandese hanno sviluppato una linea di azione comunicativa che si rivolge direttamente alla comunità criminale. Sul sito operation-endgame.com sono stati pubblicati video di circa due minuti in stile anime giapponese, contenenti informazioni puntuali sui singoli sospettati. L’obiettivo dichiarato è generare sfiducia all’interno della comunità, incrinando i legami reciproci tra criminali e tra gruppi affiliati. «Abbiamo iniziato a parlare ai nostri criminali attraverso questi video», ha sottolineato Meywirth, definendo l’iniziativa un successo significativo sul piano del condizionamento psicologico dell’ecosistema.
Da Emotet a Operation Endgame: la timeline dei takedown
Il caso Emotet rappresenta, nella ricostruzione di Meywirth, una pietra miliare nella storia del contrasto al cybercrime. Dropper e loader di riferimento del panorama 2020, è stato oggetto di un’indagine durata due anni e mezzo, conclusasi a gennaio 2021 con un’operazione tecnicamente innovativa. Ottenuto l’accesso all’infrastruttura criminale, gli investigatori hanno utilizzato gli stessi canali di distribuzione del malware (basati su IP) per veicolare verso la botnet un payload modificato, che reindirizzava i bot infetti dall’infrastruttura criminale a una controllata dalla polizia federale. Sottratta così la rete agli attaccanti, i server globali sono stati progressivamente disattivati. Il takedown si è rivelato sostenibile nel tempo e ha costituito un modello operativo replicato in operazioni successive.
L’FBI ha applicato lo stesso schema due anni dopo per smantellare Qakbot (agosto 2023). Sull’onda di questi risultati è nata Operation Endgame, la più grande operazione internazionale contro il cybercrime mai realizzata. A differenza dei casi precedenti, l’azione ha colpito simultaneamente sei o sette dropper, con esecuzioni nelle ondate del 2024 e del 2025. Per un periodo stimato da Meywirth in tre o quattro anni, i gruppi ransomware si sono trovati privi di efficaci strumenti di accesso iniziale ai sistemi target.
La sequenza dei takedown coordinati dal BKA negli ultimi mesi è particolarmente densa. Aprile 2025: chiusura di una rete di stresser services nell’ambito di Operation Power Off. Giugno 2025: smantellamento del marketplace Archetype. Luglio 2025: disarticolazione dell’infrastruttura del gruppo hacktivista filorusso NoName057(16). Novembre 2025: takedown del mixer di criptovalute Cryptomixer.io, che si aggiunge al precedente caso Chipmixer, dai cui server il BKA aveva sequestrato oltre 90 milioni di euro in criptovalute. Gennaio 2026: operazione contro il gruppo ransomware Black Basta. Marzo 2026: smantellamento di Aisuru & Kimwolf.
Sul gruppo NoName057(16), Meywirth ha precisato che il riemergere parziale dell’infrastruttura non è considerato un fallimento: «Stiamo continuando a colpirli e li colpiremo ancora».
Volti, nomi e mandati di cattura
Operation Endgame ha consentito l’identificazione di numerosi sospettati. La Germania ha emesso 20 mandati di cattura, ai quali l’FBI ne ha aggiunti altri 17, per un totale di 37 ricercati nelle indagini coordinate. Meywirth ha mostrato in conferenza fotografie e nomi reali, accostati ai nickname utilizzati online e raggruppati per procedimento.
Nel filone TrickBot figurano, fra gli altri, Tsarev (mango), Kovalev (stern), Galochkin (bentley), Sedletskii (strix), Kovalskii (neo/wild), Vakhromeev (mushroom), Valiakhmetov (mentos), Kurov (naned), Kiselev (allen), Sharafetdinov (alik/gucci), Mikhailov (baget), Koniukhov (carrol), Zhukov (van), Shupliakov (gunz) e Osipov (frog). Nel filone Qakbot compaiono Khalitov (dancho) e Prokop (carterj). Per NoName057(16) sono ricercati Lupin (s3rmax), Burlakov (darkklogo), Avrosimoww (ponyashka), Muravyov (DaZbastaDraw) ed Estratova (olechochek). Per Black Basta, Nefedov (tramp).
Kovalev e Nefedov, identificati da Meywirth come fondatori storici di Conti, sono oggi al centro rispettivamente delle indagini su TrickBot e Black Basta: una traccia chiara della migrazione e ricomposizione dei nuclei criminali fra le sigle.
Un volto compare segnato da una X nella wanted list: Vasilchenko (username “elvira”), ricercato nel filone TrickBot. Primo membro del gruppo a tentare un trasferimento fuori dalla Federazione Russa, ha scelto come tappa l’Armenia, valutazione rivelatasi un errore. Oggi attende l’estradizione verso la Germania.
«La punizione non arriva». Sette anni dopo.
Meywirth ha chiuso l’intervento con una citazione del 2019 di un esponente del gruppo malware GandCrab, che dichiarava: «Abbiamo dimostrato, commettendo azioni malvagie, che la punizione non arriva». Sette anni dopo, il tribunale di Stoccarda lo ha condannato a sette anni di reclusione.
Una chiusura che restituisce, con efficacia narrativa, il senso del titolo dell’intervento. From Hunter to Hunted: la dinamica, nelle parole del Direttore della Cybercrime Division del BKA, si è ribaltata.
