Sicurezza

LockBit: il più grande gruppo ransomware del dark web

Negli ultimi anni hanno fatto scalpore gli attacchi ransomware sferrati da LockBit, un gruppo hacker specializzato in estorsioni che ha minacciato i dati e le infrastrutture IT di molteplici aziende con le loro botnet e il loro personalissimo arsenale di malware. Dopo anni di terrore, il gruppo è stato finalmente rintracciato lo scorso febbraio grazie alle indagini condotte da NCA e FBI.

Il gruppo hacker più pericoloso del web

LockBit ha fatto la sua prima comparsa nel 2019, e da allora ha continuato a evolversi e innovarsi per sviluppare ransomware sempre più insidiosi, e costruire il loro programma Ransomware as a Service (RaaS).

Naviga con NordVPN – Scopri la super offerta NordVPN – 63% di sconto

Il 25% di tutte le operazioni ransomware compiute negli scorsi due anni possono essere attribuite a LockBit. Secondo il rapporto Talos Year in Review del 2023, il periodo di attività più intenso per LockBit è stato il mese di marzo, periodo che coincide con la scoperta di una vulnerabilità nel software di gestione per stampanti PaperCut. Questa falla di sicurezza era stata prontamente sfruttata dai cybercriminali per infettare centinaia di dispositivi aziendali.

Il modello Ransomware as a Service

Lockbit Takedown Timeline 2
La timeline di LockBit – Fonte: Cisco Talos

Negli ultimi due anni, si è osservata una crescente collaborazione tra gruppi di criminali informatici, dalla condivisione di strumenti di hacking alla costruzione di infrastrutture comuni, come botnet e network privati.

Infatti, il team di threat intelligence Cisco Talos ha recentemente riportato come i gruppi ransomware GhostSec e Stormous, connessi a LockBit, stanno conducendo attacchi mirati all’estorsione di denaro su varie aziende in diversi Paesi. Inoltre, i due gruppi hanno iniziato un nuovo programma di RaaS, chiamato STMX_GhostLocker, con l’obiettivo di fornire botnet e malware ai loro affiliati.

Il panorama dei gruppi ransomware è molto diversificato. Alcuni cybercriminali sviluppano “in casa” malware complesso e insidioso, mentre altri sfruttano codice di terze parti recuperato dal dark web. Altri gruppi ancora stanno uscendo dallo scenario dei ransomware, mettendo all’asta i loro strumenti di hacking. Tutto questo rende il compito di rintracciare i gruppi di criminali ancora più difficile.

LockBit era un gruppo operante secondo il modello RaaS. Reclutavano affiliati offrendo loro parte del profitto e incoraggiandoli a condurre attacchi utilizzando strumenti e infrastrutture offerti da LockBit. Dato che i gruppi affiliati non erano connessi tra loro, gli attacchi sferrati sfruttando l’arsenale di LockBit tendevano a essere diversificati e attuati in tutto il mondo.

Operazione Chronos

Per porre fine alla minaccia di LockBit, la NCA, l’FBI e partner internazionali hanno unito le loro forze nell’Operazione Chronos. A febbraio 2024, dopo aver infiltrato la rete del gruppo, la NCA ha preso controllo dell’ambiente amministrativo di LockBit. Quest’infrastruttura consentiva ai criminali di condurre attacchi ransomware e ospitava il loro sito, dove il gruppo caricava i dati esfiltrati durante le loro operazioni.

L’infiltrazione da parte di NCA e FBI è stato solo l’inizio di una serie di misure prese per contrastare il gruppo hacker. Infatti, nel corso di seguenti operazioni, Europol è riuscita ad arrestare, in Polonia e Ucraina, tre diversi affiliati di LockBit, e a sequestrare oltre 200 account di criptovalute collegati al gruppo criminale.

…la fine di LockBit?

Nonostante l’incursione delle forse dell’ordine, il gruppo non si è fermato. Sette giorni dopo l’operazione, LockBit era tornato a postare sulla sua pagina web informazioni sensibili rubate a varie aziende e individui. Ma le operazioni compiute contro il gruppo non sono state vane. Infatti, grazie alle incursioni di Europol e NCA, l’infrastruttura di LockBit è stata severamente danneggiata, forzando il gruppo a diminuire le loro attività criminali.

Anche se si può tirare un breve sospiro di sollievo, la caccia non si è ancora conclusa: sono necessari sforzi continui e strategici per danneggiare in maniera significativa le operazioni dei gruppi RaaS e impedire la loro ricomparsa. Ma la battaglia sta volgendo a favore dei difensori della sicurezza: le “idre informatiche”, come LockBit, possono essere sconfitte.

Da non perdere questa settimana su Techbusiness

 

📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano
💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨‍⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!

Autore

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button