E Lockbit risponde addirittura con un “comunicato”

Cosa fai se le principali autorità che si occupano di intelligence cybernetica in Europa e negli Stati Uniti ti stanno alle calcagna? Ovviamente, scrivi un comunicato stampa e lo diffondi online. Se vi sembra strano questo tipo di comportamento, dobbiamo ricordarci che stiamo parlando sempre di Lockbit, una delle più temibili gang ransomware che hanno operato negli ultimi anni a livello internazionale, facendo diverse vittime illustri e – spesso – prendendosi gioco di loro. Inoltre, avendo da sempre una certa esposizione pubblica, Lockbit ha evidentemente ritenuto opportuno far sapere a tutti (anche ai loro simpatizzanti che, a dispetto dell’evidenza, non sono pochi) che le sue attività sono momentaneamente rallentate a causa di quella che è stata definita Operazione Cronos.

LEGGI ANCHE > L’azione congiunta UE-USA-UK che ha messo K.O. il sito della gang ransomware Lockbit

Comunicato Lockbit, come la gang ha comunicato all’esterno

Ovviamente, il comunicato stampa può essere archiviato alla voce “trollata”. La gang, infatti, ha voluto scimmiottare lo stile di quelli che le loro vittime solitamente indirizzano ai propri clienti o ai propri utenti, per provare a rassicurarli rispetto a eventuali fughe di dati personali sensibili o di altre informazioni estremamente delicate.

Si parte dalla classica frase di aggancio: «Vi informiamo di un recente incidente di sicurezza che potrebbe aver interessato le vostre informazioni personali» – inizia il testo, che si rivolge a un ipotetico “affiliato”. La trollata si palesa in maniera evidente quando si arriva alla frase: «Il nostro team ha recentemente rilevato un accesso non autorizzato ai nostri sistemi, che riteniamo sia stato effettuato da un gruppo noto come NCA». La NCA – la National Crime Agency – non è “un gruppo noto”, ma una istituzione del Regno Unito che si occupa di difesa e prevenzione delle azioni criminali. Tuttavia, Lockbit ha voluto riprodurre esattamente il tono con cui le loro vittime parlano abitualmente di loro.

Non solo, Lockbit ha anche aggiunto alcune informazioni: l’attivazione dell’autenticazione a due fattori, il reset della vecchia password, il monitoraggio delle azioni dei propri account personali, l’indicazione di un indirizzo e di un numero di telefono per il supporto. Si tratta delle classiche “contromisure” che, una volta che i buoi sono scappati dal recinto, le grandi aziende o gli enti della pubblica amministrazione di tutto il mondo consigliano ai propri clienti/utenti, dopo essere state vittime di un attacco hacker. Se è vero che Lockbit ha voluto prendere in giro le sue vittime, con una certa spavalderia e con un atteggiamento guascone, è pur vero che, al momento, i suoi membri sono al centro di quella che sembra essere una inchiesta internazionale abbastanza strutturata che, in una maniera o in un’altra, avrà un effetto sulla gang ransomware.