Takedown Crimenetwork, illustrazione concettuale di una rete di nodi criminali con due collegamenti spezzati dopo l'intervento BKA

Crimenetwork chiuso di nuovo: 22.000 utenti e 3,6 milioni

A cura di:Redazione Ore

Il takedown Crimenetwork annunciato l’8 maggio 2026 dal Bundeskriminalamt segna la seconda chiusura del più grande marketplace criminale di lingua tedesca in meno di diciotto mesi. La nuova versione, ricostruita pochi giorni dopo lo smantellamento del dicembre 2024, aveva già raccolto oltre 22.000 utenti, più di 100 venditori e oltre 3,6 milioni di euro di ricavi prima dell’intervento congiunto di BKA, Procura di Francoforte sul Meno, Policia Nacional spagnola, Centro contro il cybercrime moldavo ed Eurojust. L’amministratore, un cittadino tedesco di 35 anni, è stato arrestato a Maiorca su Mandato d’Arresto Europeo (MAE).

L’episodio chiude un ciclo molto rapido di ricostruzione e ricaduta, e racconta in modo plastico la natura della filiera che alimenta il ransomware: marketplace di credenziali rubate, log di infostealer, accessi iniziali e documenti contraffatti. È lo stesso ecosistema da cui le affiliate dei gruppi ransomware-as-a-service attingono per il primo ingresso sui sistemi delle vittime.

La dinamica del takedown Crimenetwork

L’arresto del presunto amministratore è avvenuto il 6 maggio nella residenza di Maiorca grazie a un’unità speciale della Policia Nacional spagnola, sulla base di un MAE coordinato dalla Centrale per la lotta al cybercrime della Procura di Francoforte sul Meno (ZIT) e dal BKA; l’annuncio pubblico è arrivato due giorni dopo, l’8 maggio. L’operazione ha visto inoltre il supporto giudiziario di Eurojust e il contributo determinante della Moldavia: il Centro contro il cybercrime dell’Ispettorato Nazionale di Investigazione (INI) e i procuratori della PCCOCS hanno collaborato all’indagine perché l’infrastruttura tecnica della nuova Crimenetwork era ospitata su server fisicamente collocati nel paese, circostanza che ha permesso alle autorità locali un monitoraggio coperto delle transazioni e dei flussi (OCCRP, 13 maggio 2026).

Secondo le autorità tedesche, il 35enne si nascondeva a Maiorca da alcuni anni sotto identità false, e contro di lui pendeva un secondo procedimento parallelo, condotto dalla Procura generale di Karlsruhe insieme alle polizie di Offenburg e Reutlingen, per una frode commessa attraverso negozi online fittizi che avrebbe causato circa 1.000 vittime in Germania. È un dettaglio non marginale: chi amministrava un marketplace specializzato anche nella vendita di documenti contraffatti li usava personalmente per restare al riparo.

Le accuse mosse al 35enne si articolano sul §127 del Codice penale tedesco (Strafgesetzbuch), che dal 2021 sanziona esplicitamente la gestione di piattaforme criminali online, e sui §§29a e 30a della legge sugli stupefacenti, per il traffico di sostanze in quantità rilevanti.

Le autorità hanno sequestrato beni per circa 194.000 euro direttamente connessi al marketplace e acquisito una mole consistente di dati transazionali e di registrazione utente. Le perquisizioni a Maiorca e in Germania hanno portato anche al sequestro di dispositivi elettronici e di una quota separata di criptovaluta. I pagamenti, secondo il comunicato BKA ripreso da Help Net Security e Security Affairs, avvenivano in Bitcoin, Litecoin e Monero; l’ultimo dei quali resta la scelta privilegiata di chi cerca difficoltà aggiuntive sulla tracciabilità on-chain. Al momento dell’annuncio il 35enne si trovava in custodia estradizionale in Spagna, in attesa del trasferimento in Germania.

Carsten Meywirth, direttore del Dipartimento Cybercrime del BKA, ha dichiarato:

«Il rilancio di Crimenetwork è fallito, e un altro amministratore dovrà rispondere delle sue azioni davanti a un tribunale tedesco. Stiamo applicando coerentemente la legge anche nel Darknet, insieme ai nostri partner nazionali e internazionali. Il cybercrime non paga»,

Da fine 2024 a maggio 2026: la ricostruzione lampo

Crimenetwork, attivo secondo Security Affairs almeno dal 2012, è stato per anni il punto di riferimento dell’economia clandestina germanofona, arrivando a contare circa 100.000 utenti registrati al picco di attività. La prima chiusura risale al dicembre 2024, quando le autorità avevano arrestato un amministratore di 29 anni e sequestrato circa un milione di euro. Le stesse fonti riferiscono che attraverso la piattaforma sono transitati oltre 100 milioni di dollari in criptovalute tra il 2018 e il 2024: cifra che, pur derivante da una stima investigativa di singola fonte, dà la misura dell’attività del marketplace nell’ultima fase prima dell’intervento.

Il ciclo giudiziario sul primo amministratore si è già chiuso in primo grado. Nel marzo 2026 il Landgericht Gießen lo ha condannato a sette anni e dieci mesi di reclusione, disponendo la confisca di oltre dieci milioni di euro di proventi criminali (sentenza non ancora definitiva). È proprio a questa pronuncia che Benjamin Krause, Procuratore senior e portavoce della ZIT, ha fatto riferimento nel comunicato dell’8 maggio per indicare la soglia di pena che attende ora il nuovo arrestato.

La ricostruzione tecnica del secondo Crimenetwork era avvenuta invece in tempi sorprendentemente rapidi: l’infrastruttura, secondo il comunicato BKA, è stata predisposta «pochi giorni» dopo l’arresto del primo amministratore. Nei circa diciassette mesi successivi la piattaforma ha recuperato un bacino sufficiente di utenti e venditori da generare oltre 3,6 milioni di euro di ricavi attraverso commissioni di vendita e fee a carico dei venditori. Il dato si presta a una doppia lettura: conferma la resilienza dell’ecosistema criminale di lingua tedesca, ma mostra anche che il secondo arresto è arrivato comunque, non attraverso lo smontaggio dell’infrastruttura ma seguendo la persona che la amministrava.

Crimenetwork e la filiera del ransomware

La connessione fra una piattaforma come Crimenetwork e gli attacchi ransomware è meno diretta di quella di un forum esplicitamente dedicato al Ransomware-as-a-Service, ma altrettanto strutturale. I marketplace germanofoni di stolen data e accessi iniziali sono uno dei canali di approvvigionamento per i broker che rivendono poi punti di ingresso alle affiliate dei gruppi ransomware. La supply chain del riscatto passa quindi attraverso questi nodi: chi smonta la piattaforma di intermediazione rende più costoso il primo anello della catena d’attacco.

Lo stesso ragionamento si applica all’altra grande operazione del 2026: Operation Leak, condotta dal Department of Justice statunitense ed Europol fra il 3 e il 4 marzo 2026 contro il forum LeakBase. La piattaforma, attiva dal 2021 e disponibile in lingua inglese sul clearnet, contava al dicembre 2025 oltre 142.000 utenti registrati, circa 32.000 post e più di 215.000 messaggi privati, e si era specializzata nella vendita di stealer logs, gli archivi di credenziali raccolti dai malware infostealer.

Il funzionamento poggiava su un’economia interna a crediti e su un sistema di reputazione fra utenti, gli stessi meccanismi di trust che reggono i grandi marketplace dell’underground; una regola del forum vietava esplicitamente la vendita o la pubblicazione di dati relativi alla Russia, indicatore ricorrente di tolleranza geografica verso le autorità di quel paese.

L’azione, secondo i comunicati DOJ ed Europol, ha coinvolto 14 paesi con circa cento azioni di enforcement e provvedimenti specifici contro 37 fra gli utenti più attivi della piattaforma; il coordinamento centrale è avvenuto all’Aia nell’ambito della Joint Cybercrime Action Taskforce (J-CAT) e di un Joint Command Post operativo. Il sequestro dell’intero database del forum sta consentendo la deanonimizzazione progressiva di altri utenti che si ritenevano al riparo (Europol, 4 marzo 2026).

Il parallelismo con Crimenetwork è quasi puntuale anche sul lato della ricostruzione: pochi giorni dopo il takedown, LeakBase è ricomparso su un nuovo dominio (leakbase[.]bz), confermando che la pressione di law enforcement sulle piattaforme di credential trading si misura sui tempi e sui costi di ricostituzione, non sull’estinzione del fenomeno .

LeakBase e Crimenetwork operavano su pubblici diversi (anglofono il primo, germanofono il secondo) e con modelli di business non identici, ma servivano la stessa funzione di mercato: ridurre l’attrito fra chi possiede dati e accessi rubati e chi li monetizza. Toglierli di mezzo, anche temporaneamente, costringe attaccanti e affiliate a ricostruire canali, identità di reputazione, sistemi di escrow e meccanismi di trust. È una pressione di costo, non un’estinzione: ma è una pressione misurabile.

L’altro fronte: gli insider del ransomware-as-a-service

Mentre la dimensione marketplace viene erosa dai sequestri di infrastruttura, si è aperto in parallelo un secondo fronte sulla dimensione personale della filiera. Il 29 dicembre 2025 il tribunale federale per il Distretto Sud della Florida ha accettato la dichiarazione di colpevolezza di Ryan Goldberg, 40 anni, della Georgia, e Kevin Martin, 36 anni, del Texas.

Entrambi avevano lavorato nell’industria della cybersecurity: Goldberg come incident response manager presso Sygnia, Martin come ransomware negotiator presso DigitalMint. Secondo il comunicato del DOJ, i due hanno usato le proprie competenze per agire da affiliate di ALPHV/BlackCat fra aprile e dicembre 2023, ottenendo accesso illecito a reti aziendali, distribuendo il ransomware, gestendo le estorsioni e versando agli sviluppatori di BlackCat la quota canonica del 20% sui pagamenti ottenuti.

Uno dei casi citati nei capi d’imputazione riguarda un riscatto di circa 1,2 milioni di dollari in Bitcoin estorto a un produttore di dispositivi medicali, suddiviso poi fra i tre cospiratori attraverso operazioni di laundering su più canali. Il terzo cospiratore, inizialmente non nominato, è stato successivamente identificato in Angelo Martino, 41 anni, della Florida, anche lui ex ransomware negotiator presso DigitalMint.

Martino ha dichiarato colpevolezza ad aprile 2026 e la sua udienza di condanna è fissata per il 9 luglio 2026. Il suo profilo è particolarmente compromettente: secondo l’atto d’accusa avrebbe accettato come negoziatore casi che riguardavano aziende da lui stesso precedentemente attaccate come affiliato BlackCat, condividendo con gli operatori del gruppo informazioni riservate delle vittime (inclusi i massimali delle polizze cyber) per gonfiare il valore dei riscatti.

Goldberg e Martin sono stati condannati ad aprile 2026 a quattro anni di reclusione ciascuno per un singolo capo d’accusa ai sensi del 18 U.S.C. § 1951(a) (Hobbs Act, estorsione che ostacola il commercio interstatale). Entrambi dovranno inoltre versare 324.123,26 dollari ciascuno di proventi tracciabili. Le perdite complessive subite dalle vittime, fra cui figurano un produttore di dispositivi medicali in Florida, una farmaceutica in Maryland, uno studio medico in California, una società di ingegneria sempre in California e un produttore di droni in Virginia, superano i 9,5 milioni di dollari.

Il caso ALPHV/BlackCat è particolarmente rilevante per il settore perché unisce due elementi raramente messi in evidenza nello stesso pezzo: l’uso della reputazione di consulente per facilitare l’attacco e l’effetto di lungo termine della disruption FBI del dicembre 2023, che aveva permesso di distribuire un decryption tool in grado di risparmiare circa 99 milioni di dollari di riscatti alle vittime. La piattaforma BlackCat era stata utilizzata per colpire oltre 1.000 organizzazioni nel mondo, distribuita secondo il modello Ransomware-as-a-Service (si veda su ICT Security Magazine l’inquadramento storico su BlackCat).

Marketplace, forum, insider: la triplice pressione sulla filiera

Letti come singoli eventi, Crimenetwork, LeakBase e i guilty plea di BlackCat sono tre notizie distinte. Letti insieme, raccontano un’idea coerente di strategia di disgregazione della filiera ransomware che le agenzie occidentali hanno adottato negli ultimi diciotto mesi: non solo colpire le piattaforme RaaS (come avvenuto in Operation Cronos contro LockBit e nelle fasi successive di Operation Endgame), ma intervenire sull’intera infrastruttura di mercato e di servizio che le abilita, dalle piattaforme di credential trading fino agli intermediari professionali che operano dall’interno del settore.

L’esempio Crimenetwork mostra il limite e l’efficacia di questo approccio. Limite, perché un’infrastruttura tecnica si ricostruisce in pochi giorni, come ammesso dallo stesso BKA. Efficacia, perché ogni ciclo di ricostruzione costa risorse, espone identità, lascia tracce. La sentenza Gießen contro il primo amministratore, pronunciata appena due mesi prima del secondo takedown, è la prova che i metodi di follow the money, raccolta di evidenze transazionali e cooperazione con l’estero arrivano alle persone fisiche e producono pene effettive, non solo banner di sequestro sui domini.

Per la sicurezza aziendale italiana il segnale operativo è duplice. Da un lato vale la pena monitorare i report di threat intelligence dei prossimi mesi alla ricerca degli indicatori di sostituzione del marketplace germanofono: come avvenuto dopo le chiusure di Hydra e RaidForums, il vuoto creato da Crimenetwork attirerà tentativi di subentro su altri forum o canali Telegram, con conseguenti spostamenti delle credenziali esposte verso luoghi diversi.

Dall’altro lato, la vicenda dei tre ex professionisti della cybersecurity statunitense è un richiamo concreto a procedure di due diligence sui vendor di incident response e ransomware negotiation ingaggiati a caldo durante un incidente: l’FBI di Miami ha esplicitamente raccomandato di “esercitare due diligence nell’ingaggio di terze parti per la risposta a ransomware”.

Il takedown Crimenetwork non chiude il problema. Conferma però che la pressione di law enforcement sulla filiera che alimenta il ransomware è continua, multidirezionale e progressivamente più efficace nel colpire gli anelli più resilienti: non il malware, non l’infrastruttura, ma le persone, i flussi di denaro e i nodi di mercato che tengono insieme la catena.

Fonti

 

Condividi sui Social Network:

Ultimi Articoli