Negli ultimi anni hanno fatto scalpore gli attacchi ransomware sferrati da LockBit, un gruppo hacker specializzato in estorsioni che ha minacciato i dati e le infrastrutture IT di molteplici aziende con le loro botnet e il loro personalissimo arsenale di malware. Dopo anni di terrore, il gruppo è stato finalmente rintracciato lo scorso febbraio grazie alle indagini condotte da NCA e FBI.
Il gruppo hacker più pericoloso del web
LockBit ha fatto la sua prima comparsa nel 2019, e da allora ha continuato a evolversi e innovarsi per sviluppare ransomware sempre più insidiosi, e costruire il loro programma Ransomware as a Service (RaaS).
Naviga con NordVPN – Scopri la super offerta NordVPN – 63% di sconto
Il 25% di tutte le operazioni ransomware compiute negli scorsi due anni possono essere attribuite a LockBit. Secondo il rapporto Talos Year in Review del 2023, il periodo di attività più intenso per LockBit è stato il mese di marzo, periodo che coincide con la scoperta di una vulnerabilità nel software di gestione per stampanti PaperCut. Questa falla di sicurezza era stata prontamente sfruttata dai cybercriminali per infettare centinaia di dispositivi aziendali.
Il modello Ransomware as a Service
Negli ultimi due anni, si è osservata una crescente collaborazione tra gruppi di criminali informatici, dalla condivisione di strumenti di hacking alla costruzione di infrastrutture comuni, come botnet e network privati.
Infatti, il team di threat intelligence Cisco Talos ha recentemente riportato come i gruppi ransomware GhostSec e Stormous, connessi a LockBit, stanno conducendo attacchi mirati all’estorsione di denaro su varie aziende in diversi Paesi. Inoltre, i due gruppi hanno iniziato un nuovo programma di RaaS, chiamato STMX_GhostLocker, con l’obiettivo di fornire botnet e malware ai loro affiliati.
Il panorama dei gruppi ransomware è molto diversificato. Alcuni cybercriminali sviluppano “in casa” malware complesso e insidioso, mentre altri sfruttano codice di terze parti recuperato dal dark web. Altri gruppi ancora stanno uscendo dallo scenario dei ransomware, mettendo all’asta i loro strumenti di hacking. Tutto questo rende il compito di rintracciare i gruppi di criminali ancora più difficile.
LockBit era un gruppo operante secondo il modello RaaS. Reclutavano affiliati offrendo loro parte del profitto e incoraggiandoli a condurre attacchi utilizzando strumenti e infrastrutture offerti da LockBit. Dato che i gruppi affiliati non erano connessi tra loro, gli attacchi sferrati sfruttando l’arsenale di LockBit tendevano a essere diversificati e attuati in tutto il mondo.
Operazione Chronos
Per porre fine alla minaccia di LockBit, la NCA, l’FBI e partner internazionali hanno unito le loro forze nell’Operazione Chronos. A febbraio 2024, dopo aver infiltrato la rete del gruppo, la NCA ha preso controllo dell’ambiente amministrativo di LockBit. Quest’infrastruttura consentiva ai criminali di condurre attacchi ransomware e ospitava il loro sito, dove il gruppo caricava i dati esfiltrati durante le loro operazioni.
L’infiltrazione da parte di NCA e FBI è stato solo l’inizio di una serie di misure prese per contrastare il gruppo hacker. Infatti, nel corso di seguenti operazioni, Europol è riuscita ad arrestare, in Polonia e Ucraina, tre diversi affiliati di LockBit, e a sequestrare oltre 200 account di criptovalute collegati al gruppo criminale.
…la fine di LockBit?
Nonostante l’incursione delle forse dell’ordine, il gruppo non si è fermato. Sette giorni dopo l’operazione, LockBit era tornato a postare sulla sua pagina web informazioni sensibili rubate a varie aziende e individui. Ma le operazioni compiute contro il gruppo non sono state vane. Infatti, grazie alle incursioni di Europol e NCA, l’infrastruttura di LockBit è stata severamente danneggiata, forzando il gruppo a diminuire le loro attività criminali.
Anche se si può tirare un breve sospiro di sollievo, la caccia non si è ancora conclusa: sono necessari sforzi continui e strategici per danneggiare in maniera significativa le operazioni dei gruppi RaaS e impedire la loro ricomparsa. Ma la battaglia sta volgendo a favore dei difensori della sicurezza: le “idre informatiche”, come LockBit, possono essere sconfitte.
- Capobianco, Antonio (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔝LinkedIn pubblica il report Top Companies Italia 2024: al primo posto Intesa Sanpaolo
🍪Il futuro della privacy online: Google dice addio ai cookie di terze parti
🪪Parliamo di SASE: intervista a Aldo Di Mattia di Fortinet
💡AMD e i data center energeticamente sostenibili. Intervista ad Alexander Troshin
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
