Affiliato Conti-Akira condannato a 102 mesi negli USA
Affiliato ransomware Conti e Akira, condannato a 102 mesi di prigione federale per estorsione a oltre 53 aziende e danni per circa $56 milioni.
Contenuto
«With this sentence, a cruel, ruthless, and dangerous international cybercriminal is now behind bars». Così il tribunale federale ha salutato la condanna di Deniss Zolotarjovs, negoziatore lettone di 35 anni nato a Mosca, a 102 mesi di prigione — 24 in meno dei 126 richiesti dal Dipartimento di Giustizia — per il suo ruolo di affiliato in un'organizzazione ransomware con base in Russia.
Nota redazionale: il metadata della fonte primaria riporta la data 2026-05-05, temporalmente anomala rispetto alla cronologia processuale nota. I dettagli della sentenza si basano sull'esclusiva di The Record, in attesa di conferma ufficiale dal DOJ.
L'uomo, estradato negli Stati Uniti nell'agosto 2024 dopo un arresto in Georgia, si era dichiarato colpevole di riciclaggio e wire fraud nel luglio 2025. La sentenza, resa nota nei giorni scorsi, fissa la punizione per un affiliato che non violava reti, ma converteva in moneta la paura delle vittime.
Il verdetto conferma che la giustizia transnazionale raggiunge anche gli operatori di supporto dei gruppi RaaS. Tuttavia, come hanno avvertito i procuratori, l'organizzazione — oggi legata al marchio Akira — resta operativa e tra le più pericolose del 2025.
Punti chiave:
- Zolotarjovs percepiva il 10% dei riscatti per negoziare con le vittime in inglese e riattivare trattative bloccate con tattiche aggressive.
- L'organizzazione ha colpito oltre 53 aziende causando $56 milioni in perdite e raccogliendo circa $3 milioni, secondo i procuratori federali.
- La struttura criminale include ex ufficiali russi e godeva di agevolazioni come l'esenzione dal servizio militare; il DOJ conferma che resta attiva nel 2025.
Chi era il negoziatore lettone e perché era prezioso
Zolotarjovs non era l'hacker che violava le reti, ma l'interfaccia umana dell'estorsione. Secondo i procuratori federali, la sua biografia lo rendeva un asset raro per un gruppo criminale russo: avendo vissuto e studiato in Europa occidentale, padroneggiava l'inglese e le dinamiche negoziali occidentali con una naturalezza che i membri del gruppo non possedevano.
Il suo compito era analizzare i dati rubati, identificare i punti di pressione delle vittime e condurre le trattative con l'obiettivo di far crescere il più possibile il pagamento finale. Secondo i procuratori, «The defendant played a key role in the conspiracy. Having lived and attended school in Western Europe, he was an asset to the organization. His English skills and hardball tactics made him particularly effective in reviving negotiations».
Questa combinazione di competenze linguistiche e pressione psicologica ha permesso al gruppo di riattivare trattative bloccate e spingere le vittime verso il pagamento. Per questo lavoro, percepiva una commissione del 10% sui riscatti incassati, una percentuale che testimonia quanto il ruolo negoziale fosse considerato strategico all'interno della filiera criminale.
Come funziona la macchina RaaS dietro gli attacchi
L'organizzazione per cui lavorava Zolotarjovs è un esempio compartimentato del modello Ransomware-as-a-Service. Il gruppo è gestito da un ex leader del noto marchio Conti, con base operativa in un edificio di San Pietroburgo, e include tra i suoi membri ex ufficiali delle forze dell'ordine russi.
Questa struttura includeva ex ufficiali delle forze dell'ordine russi e godeva di agevolazioni come l'esenzione dal servizio militare, un dettaglio emerso nel corso dell'indagine. I ruoli erano rigidamente separati: chi gestiva l'infrastruttura tecnica, chi forniva gli accessi iniziali alle reti, chi sviluppava il malware e chi, come Zolotarjovs, gestiva il contatto con le vittime.
La filiera si basava sulla doppia estorsione: prima la cifratura dei sistemi, poi la minaccia di pubblicazione dei dati sensibili rubati. Durante il periodo in cui Zolotarjovs vi ha operato, tra circa il giugno 2021 e il marzo 2023, l'organizzazione ha colpito oltre 53 aziende. I procuratori hanno quantificato le perdite totali in circa $56 milioni, avvertendo esplicitamente che la cifra potrebbe rappresentare una sottostima rispetto all'impatto reale.
I pagamenti effettivamente raccolti ammontano a circa $3 milioni, una discrepanza che mostra come molte vittime abbiano rifiutato di cedere o siano riuscite a recuperare tramite backup senza versare il riscatto.
Dati sanitari e hardball: l'escalation delle minacce
Il lavoro di Zolotarjovs andava oltre la semplice chat di negoziazione. L'affiliato analizzava attivamente i materiali rubati per calibrare l'intensità della pressione estorsiva, ricercando informazioni capaci di accelerare la resa delle vittime.
In un caso documentato dai procuratori, durante una trattativa con una società sanitaria pediatrica, ha minacciato la divulgazione pubblica di dati clinici sensibili. Per rendere credibile la minaccia, ha inviato campioni di quei dati a centinaia di pazienti, elevando lo sforzo psicologico da mero ricatto digitale a violazione personale diretta.
Non si tratta quindi di un attacco indiscriminato, ma di una strategia mirata che sfrutta la sensibilità dei contenuti per aumentare la probabilità di pagamento.
Perché il gruppo resta tra i più attivi del 2025
Il giudice federale ha inflitto 102 mesi di reclusione, riducendo rispetto ai 126 mesi richiesti dal Dipartimento di Giustizia. La distanza tra richiesta e verdetto non attenua la severità della condanna, ma evidenzia come il tribunale abbia pesato il ruolo di Zolotarjovs come affiliato piuttosto che come vertice dell'organizzazione.
«His former ransomware associates have only grown more dangerous, becoming one of the most, if not the most, most active ransomware groups today» - Procuratori federali, DOJ
Questa affermazione, riportata dai procuratori federali, conferma che la rimozione di un singolo negoziatore non altera la capacità offensiva di un'organizzazione RaaS strutturata. Il gruppo ha infatti operato e continua a operare sotto diversi marchi, tra cui Conti, Karakurt, TommyLeaks, SchoolBoys e Akira, adattando la propria infrastruttura criminale alle contromisure di sicurezza e alle evoluzioni del mercato degli accessi iniziali.
La condanna di Zolotarjovs è un segnale importante per la deterrenza individuale, ma non costituisce uno smantellamento della minaccia.
Cosa fare adesso
Contro un modello che punta su dati sensibili, negoziatori madrelingua e doppia estorsione, le difese devono essere altrettanto mirate. Ecco quattro azioni calate sul caso.
Isolare e cifrare preventivamente i dati sanitari e pediatrici. Nella fattispecie, l'affiliato ha minacciato la divulgazione di dati clinici inviando campioni a centinaia di pazienti per forzare il pagamento. Contro questa tattica di doppia estorsione, segmentare gli archivi clinici, limitare l'accesso ai reparti autorizzati e attivare notifiche immediate in caso di accesso anomalo riduce la leva psicologica e rende il furto meno sfruttabile.
Riconoscere il profilo del negoziatore occidentale. I procuratori hanno evidenziato come l'inglese perfetto e le tattiche aggressive servissero a «reviving negotiations» bloccate. Se durante un attacco il contatto mostra padronanza culturale occidentale e spinge al pagamento con minacce mirate, è probabile che si tratti di un affiliato specializzato come Zolotarjovs: interrompere la comunicazione e delegare immediatamente al DOJ e all'FBI blocca il canale di pressione psicologica.
Segnalare subito wallet e tracce di pagamento. L'indagine ha documentato che Zolotarjovs percepiva il 10% dei riscatti incassati in criptovaluta per il suo ruolo di negoziatore. Segnalare gli indirizzi di wallet e i dettagli transazionali all'FBI o al Dipartimento di Giustizia, anziché cancellare le prove, permette il tracciamento blockchain e ostacola il riciclaggio dei proventi del gruppo.
Air-gap e test recovery per rompere il modello economico. Con circa $56 milioni di danni e solo $3 milioni di riscatti incassati, la maggior parte delle vittime ha resistito senza pagare. Questo succede quando i backup sono offline, testati e in grado di ripristinare l'operatività entro tempi certi, rendendo superfluo il pagamento anche di fronte alla minaccia di leak e alla doppia estorsione.
La condanna di Zolotarjovs dimostra che gli affiliati di primo piano, per quanto specializzati e linguisticamente integrati, sono individui riconoscibili e perseguibili. Allo stesso tempo, la conferma dell'attività ininterrotta del gruppo sottolinea che il carcere di un singolo operatore non ferma una filiera criminale che funziona come un servizio aziendale.
Per le difese e le forze dell'ordine, la sfida resta colpire l'infrastruttura economica e il mercato degli accessi iniziali, piuttosto che limitarsi a individuare i volti della negoziazione. Finché esisterà un edificio a San Pietroburgo che coordina ex ufficiali e negoziatori occidentali, il ransomware resterà un'industria, non un'emergenza isolata.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.