Le forze dell'ordine hanno appena inferto un altro duro colpo alle reti di criminali informatici. L'operazione ENDGAME, giunta alla sua terza fase, ha smantellato più di mille server utilizzati per ospitare e distribuire malware. Questi interventi globali mettono a nudo l'infrastruttura che alimenta le operazioni di ransomware, ma rivelano anche qualcosa di più profondo: la rapidità con cui gli aggressori si adattano.
Per i team SOC, questo non è solo un successo delle forze dell'ordine, ma anche un promemoria del fatto che le interruzioni sono temporanee. Per rimanere all'avanguardia è necessario individuare la mossa successiva mentre gli avversari ricostruiscono i propri strumenti e le proprie infrastrutture.
1. La più grande operazione mai condotta contro le botnet (maggio 2024)
Nel maggio 2024, Europol e una coalizione di forze dell'ordine hanno coordinato quella che hanno definito la più grande operazione mai condotta contro le botnet. Questa prima fase dell'operazione ENDGAME ha preso di mira le infrastrutture che supportano il crimine informatico moderno su larga scala.
L'attenzione era rivolta malware dropper, programmi progettati per distribuire silenziosamente payload secondari come ransomware o credential stealer una volta compromesso il sistema. Le autorità hanno smantellato le reti associate a IcedID, SystemBC, Pikabot, Bumblebee, Trickbot e Smokeloader, tutti componenti principali dell'ecosistema di accesso iniziale utilizzato dagli aggressori per penetrare nelle reti aziendali.
Sono stati sequestrati oltre 100 server e circa 2.000 domini in tutto il mondo, interrompendo la comunicazione tra i sistemi infetti e i loro operatori. Europol ha definito questa operazione un "colpo significativo" all'economia sommersa che alimenta le campagne di ransomware.
Questa prima operazione ha posto le basi per un'offensiva più ampia, che si è estesa dalle singole malware alle catene di approvvigionamento criminali che le sostengono.
2. Interrompere la catena di attacco del ransomware alla fonte (maggio 2025)
Un anno dopo, Europol annunciò la seconda ondata dell'operazione ENDGAME, descrivendola come un attacco contro la catena di ransomware alla sua fonte. Oltre 300 server sono stati messi offline e 650 domini neutralizzati, paralizzando l'infrastruttura utilizzata dai gruppi criminali per distribuire i caricatori e mantenere la persistenza all'interno degli ambienti delle vittime.
Questa fase ha rappresentato un cambiamento strategico. Anziché smantellare specifiche malware , le forze dell'ordine hanno perseguito gli broker di accesso iniziale (IAB), gli specialisti che vendono l'accesso alle reti compromesse. Rimuovendo la loro infrastruttura, l'operazione ha soffocato la prima fase di diffusione del ransomware.
Le autorità hanno inoltre sequestrato 3,5 milioni di euro in criptovaluta, portando il totale dei sequestri dell'operazione ENDGAME a oltre 21 milioni di euro. L'indagine ha rivelato l'esistenza di un mercato globale di accesso a pagamento, dimostrando quanto sia diventata organizzata e scalabile l'economia del ransomware.
Ma man mano che gli investigatori approfondivano la catena di approvvigionamento del ransomware, hanno anche scoperto quanto questa infrastruttura fosse diventata resiliente e distribuita e quanto rapidamente potesse tornare in azione.
3. Fine dei giochi per le infrastrutture dedicate alla criminalità informatica (novembre 2025)
L'ultimo aggiornamento, pubblicato nel novembre 2025, segna la fase più ampia e estesa dell'operazione ENDGAME finora . Le autorità hanno smantellato 1.025 server in oltre 20 paesi, paralizzando di fatto l'infrastruttura utilizzata per ospitare, controllare e distribuire diverse forme di malware.
Le informazioni raccolte nelle fasi precedenti hanno permesso agli investigatori di mappare interi ecosistemi di comando e controllo, mettendo in luce le connessioni tra phishing, furto di credenziali e operazioni ransomware che avevano compromesso decine di migliaia di sistemi in tutto il mondo.
Sono stati effettuati decine di arresti e l'analisi forense delle risorse digitali sequestrate ha portato alla luce portafogli di criptovalute, credenziali rubate e codici sorgente appartenenti ai principali malware . Europol ha definito questo evento come "la fine del gioco" per diverse prolifiche malware che facevano affidamento su servizi di hosting resilienti e cloud per eludere il rilevamento.
Sebbene questa operazione abbia compromesso in modo significativo le capacità criminali, gli esperti avvertono che le infrastrutture del crimine informatico si rigenerano rapidamente. Una volta eliminati i server e i domini noti, ne emergono di nuovi, spesso nascosti all'interno di cloud legittimi o canali crittografati. Per i difensori, ciò significa che le forze dell'ordine possono arrivare solo fino a un certo punto. Il rilevamento continuo deve subentrare dove si ferma l'interruzione.
Perché è importante per i team SOC
1. Le interruzioni non eliminano le minacce
L'operazione ENDGAME dimostra che anche la distruzione di infrastrutture su larga scala non elimina il rischio. Gli aggressori ricostruiscono rapidamente, spesso nel giro di pochi giorni. Per i team SOC, ciò significa che gli indicatori di compromissione di ieri perdono rapidamente valore. Le difese statiche e gli strumenti basati sulle firme non riescono a stare al passo. L'unico approccio sostenibile è il rilevamento comportamentale che identifica le tecniche riutilizzate dagli avversari, indipendentemente dall'infrastruttura da cui operano.
2. Il livello di accesso iniziale rimane l'anello più debole
Ogni fase dell'operazione ENDGAME ha preso di mira un diverso livello della catena di approvvigionamento criminale, ma l'attenzione si è concentrata sugli broker di accesso iniziale e malware dropper evidenzia la stessa verità: le fasi iniziali della compromissione sono spesso quelle in cui le difese sono più deboli.
Questi strumenti si mimetizzano nel traffico di rete legittimo e sfruttano le falle tra endpoint, identità e cloud . Per individuarli è necessaria una visibilità cross-domain, in grado di rilevare modelli di autenticazione inattesi, movimenti laterali o staging di dati anomali che segnalano una violazione prima dell'implementazione del ransomware.
3. Cloud ibridi e Cloud
I server sequestrati nell'operazione ENDGAME non erano limitati ai provider di hosting criminali. Molti si trovavano in cloud legittimi, dimostrando come gli aggressori sfruttino le stesse piattaforme su cui fanno affidamento le aziende. Ciò rispecchia ciò che i team SOC affrontano quotidianamente: una visibilità frammentata in ambienti ibridi e SaaS in cui le tradizionali difese perimetrali non sono applicabili.
I difensori devono estendere il monitoraggio ai luoghi in cui operano le minacce moderne, all'interno del traffico di rete, dei sistemi di identità e cloud . Questo è l'unico modo per rilevare gli aggressori che si nascondono tra le attività normali.
La visibilità continua è l'unica vera rivoluzione
L'operazione ENDGAME dimostra che l'azione coordinata è efficace, ma la vera prova inizia dopo lo smantellamento. I gruppi criminali si riorganizzano, si adattano e migrano verso nuove infrastrutture più rapidamente di quanto le difese statiche riescano a stare al passo.
Per i team SOC, la visibilità continua e il rilevamento contestuale sono gli unici modi per stare al passo con i tempi. L'obiettivo non è solo quello di rilevare singoli avvisi, ma di collegare anomalie di identità, escalation dei privilegi, movimenti laterali ed esfiltrazione dei dati in un unico quadro d'azione che riveli le intenzioni dell'autore dell'attacco.
È proprio qui che entra in gioco la Vectra AI aggiunge valore. Grazie alla visibilità senza agenti su rete, identità e cloud e all'analisi comportamentale basata sull'intelligenza artificiale, Vectra rileva i comportamenti degli aggressori non appena si manifestano, anche quando l'infrastruttura è nuova di zecca. Trasforma i segnali frammentati in un contesto chiaro, consentendo agli analisti di rispondere in modo deciso, prima che gli aggressori possano riorganizzarsi.
Scopri come la Vectra AI rileva ciò che altri non riescono a vedere. Avvia una demo autoguidata e prova il rilevamento basato sul comportamento in azione.