Condanna a 102 mesi per il negoziatore Conti-Akira

Il negoziatore del gruppo Conti-Akira Deniss Zolotarjovs è stato condannato negli USA a 102 mesi di carcere per estorsioni da oltre 53 milioni di danni.

Contenuto

Condanna a 102 mesi per il negoziatore Conti-Akira
Condanna a 102 mesi per il negoziatore Conti-Akira

Deniss Zolotarjovs, cittadino lettone di 35 anni nato a Mosca, è stato condannato il 5 maggio 2026 a 102 mesi di prigione da un tribunale federale statunitense per il suo ruolo centrale nelle negoziazioni estorsive di un gruppo ransomware attivo con i brand Conti e Akira. La sentenza conclude un percorso giudiziario iniziato con l'arresto in Georgia nell'agosto 2024 e l'estradizione negli Stati Uniti, dove l'imputato si era dichiarato colpevole nel luglio 2025 di riciclaggio e wire fraud.

Secondo il Dipartimento di Giustizia, il suo operato ha contribuito a causare circa 56 milioni di dollari di perdite, una cifra che le autorità descrivono come una sottostima severa, inclusi quasi 3 milioni di dollari in riscatti effettivamente pagati da oltre 53 aziende vittime tra il giugno 2021 e il marzo 2023.

Punti chiave
  • La condanna a 102 mesi per Deniss Zolotarjovs rappresenta la prima e unica sentenza americana contro un membro di un gruppo ransomware operativo con i brand Conti e Akira, dopo l'estradizione dall'Europa orientale.
  • L'imputato funzionava da "closer" specializzato in escalation: analizzava i dati rubati per calibrare la pressione sulle vittime e percepiva una commissione diretta del 10% su ogni riscatto pagato.
  • In almeno un caso, la tattica estorsiva è arrivata a minacciare la diffusione di dati sanitari pediatrici, con l'invio di campioni a centinaia di pazienti per forzare il pagamento di un'azienda del settore.
  • Nonostante la pena emessa dal tribunale, i pubblici ministeri confermano che l'organizzazione resta attiva e prolifica, risultando tra i gruppi ransomware più pericolosi del 2025 anche attraverso il brand Akira.

Il metodo del 'closer': da San Pietroburgo alle chat di negoziazione

Le indagini hanno ricostruito una struttura criminale articolata che operava da un edificio di San Pietroburgo e includeva tra i propri membri ex ufficiali delle forze dell'ordine russe. Al suo interno, Zolotarjovs non aveva un ruolo tecnico di prima linea, ma svolgeva una funzione commerciale altamente specializzata: quella di negoziatore incaricato di chiudere le trattative. I pubblici ministeri hanno spiegato che le sue competenze linguistiche, maturate vivendo e frequentando scuole in Europa occidentale, lo rendevano un asset per l'organizzazione.

Il Dipartimento di Giustizia ha evidenziato come le sue tattiche aggressive e la capacità di rianimare trattative bloccate lo rendessero particolarmente efficace nel recuperare i pagamenti. Il modello economico era commissionale: Zolotarjovs riceveva direttamente il 10% del riscatto quando riusciva a concludere con successo la negoziazione. Per massimizzare il guadagno personale, l'uomo combattiva ogni trattativa con un approccio da closer, recuperando i dati exfiltrati, studiando la posizione finanziaria dell'azienda bersaglio e riattivando contatti quando la vittima cercava di interrompere il dialogo.

Questo schema organizzativo dimostra come il ransomware abbia ormai integrato figure professionali specializzate in persuasione coercitiva, rendendo l'attacco un processo ibrido tra violazione informatica e vendita forzata.

Quando il riscatto si alza sui dati sanitari dei bambini

La documentazione processuale descrive un livello di pressione psicologica che va oltre la minaccia standard alla pubblicazione dei dati. In almeno un episodio, quando un'azienda sanitaria — il cui nome non è stato reso noto nelle fonti disponibili — rifiutò di pagare, Zolotarjovs minacciò di diffondere informazioni cliniche relative a pazienti pediatrici. La tattica escalation non si limitò alla promessa: secondo le ricostruzioni, furono inviati campioni dei dati rubati a centinaia di pazienti come dimostrazione concreta della capacità del gruppo di danneggiare la reputazione e la privacy della struttura medica.

Questo approccio segnala una deriva pericolosa nell'ecosistema ransomware. Il target non è più solo il reparto IT o il consiglio di amministrazione, ma l'intero perimetro relazionale della vittima: pazienti, famiglie, utenti finali. L'utilizzo di dati sanitari, e in particolare pediatrici, introduce un elemento emotivo calcolato per annullare qualsiasi resistenza economica. Non è un attacco casuale: è il risultato di una ricerca aziendale mirata, condotta proprio per identificare il bene informatico dal valore estorsivo più alto.

Perché 102 mesi non fermano il gruppo: Conti diventa Akira

Il giudice ha emesso una condanna a 102 mesi, al di sotto dei 126 richiesti dal Dipartimento di Giustizia, ma la sentenza non ha disarticolato l'organizzazione. I prosecutors hanno dichiarato esplicitamente che il gruppo resta attivo e prolifica, evolvendosi da un'entità legata al brand Conti verso una delle campagne più osservate sotto il nome Akira. Secondo i responder di Google, Akira risulta la seconda famiglia malware più rilevata nel 2025, un dato che conferma la continuità operativa nonostante l'arresto di Zolotarjovs.

"I suoi ex associati nel ransomware sono diventati solo più pericolosi, affermando di essere uno dei gruppi più attivi, se non il più attivo, oggi in circolazione" — Prosecutors (DOJ)

L'imputato è al momento l'unico membro del gruppo ad essere stato processato da una corte statunitense. La sua estradizione dalla Georgia rappresenta un'eccezione piuttosto che una regola: l'organizzazione continua a operare da San Pietroburgo, fuori della portata immediata delle autorità americane. Come ha osservato il DOJ, privare il gruppo dei servizi di un negoziatore fidato, esperto e abile rappresenta un beneficio per il pubblico, ma non equivale a neutralizzare la minaccia. La transizione tra brand è funzionale: cambiare nome permette di sfuggire alla notorietà giudiziaria senza perdere know-how o infrastrutture.

Un'organizzazione con ex ufficiali russi e un solo imputato americano

Zolotarjovs è stato definito un cybercriminale internazionale crudele, spietato e pericoloso dall'Assistant Attorney General A. Tysen Duva, che ha commentato la sentenza sottolineando come la prigione chiuda un capitolo individuale ma non il libro della vicenda. La presenza di ex ufficiali delle forze dell'ordine russe all'interno della struttura criminale suggerisce un livello di organizzazione e protezione geopolitica che rende complessa qualsiasi azione repressiva mirata.

La condanna rivela anche l'asimmetria tra impatto criminale e risposta giudiziaria. Da una parte, oltre 53 aziende hanno subito danni confermati per circa 56 milioni di dollari, con un impatto reale probabilmente molto superiore. Dall'altra, un solo operatore è finito sotto giurisdizione USA. Questo squilibrio evidenzia il limite attuale della giustizia transnazionale di fronte a gruppi che sfruttano il riciclaggio di proventi, la segmentazione dei ruoli e la protezione geografica per continuare a colpire obiettivi globali.

Cosa fare adesso

  • Proteggere i dati ad alto impatto emotivo. Le strutture sanitarie, e in particolare quelle con dati pediatrici, devono segmentare e blindare queste informazioni con politiche zero-trust, perché il caso mostra che i ransomware mirano esplicitamente a dati in grado di forzare il pagamento attraverso la pressione pubblica e personale.
  • Addestrare i team di incident response alla negoziazione passiva. I negoziatori del gruppo analizzano bilanci e profili aziendali per calibrare le richieste. Preparare protocolli di comunicazione standard che non rivelino dettagli strategici, organigrammi o capacità finanziarie riduce il vettore informativo a disposizione del criminale.
  • Revisionare la superficie OSINT aziendale. Controllare quali dati su contratti, fornitori, investimenti e leadership siano pubblicamente accessibili attraverso siti web, relazioni finanziarie e social network: il gruppo le utilizza per alzare il prezzo del riscatto e accelerare la decisione della vittima.
  • Verificare l'isolamento dei backup. Considerando che l'organizzazione resta attiva e prolifica sotto il brand Akira, con una seconda posizione nei ranking di rilevamento del 2025, i backup critici devono essere mantenuti offline, testati regolarmente e isolati dalla rete principale per garantire il ripristino senza cedere all'estorsione.

La vicenda di Zolotarjovs svela il volto umano di un'industria criminale che molti immaginano come pura automazione. Dietro le chat di negoziazione c'era un professionista del ricatto, pagato a commissione e specializzato nel leggere bilanci aziendali per alzare il riscatto. La condanna è un segnale forte, ma la persistenza del gruppo sotto il brand Akira dimostra che colpire i singoli operatori non ferma la macchina se il cuore operativo resta protetto. Il ransomware è un'impresa strutturata, e le sentenze singole non bastano a disarticolare la catena del valore criminale.

Domande frequenti

Chi era Deniss Zolotarjovs nel gruppo ransomware?

Non era un leader o fondatore, ma un affiliato specializzato nelle negoziazioni finali, un cosiddetto "closer" che riceveva una commissione del 10% sui riscatti conclusi con successo.

Perché la sentenza è di 102 mesi e non 126 come richiesto dal DOJ?

Il giudice ha emesso una pena inferiore rispetto ai 126 mesi richiesti dai pubblici ministeri, benché la motivazione specifica della riduzione non sia dettagliata nelle fonti disponibili.

L'arresto ha smantellato il gruppo?

No. Secondo i prosecutors del Dipartimento di Giustizia, l'organizzazione resta attiva e prolifica, continuando a operare da San Pietroburgo anche attraverso il brand Akira.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews