Chi sono gli hacker di LockBit e come hanno agito finora
Con il passare degli anni sono riusciti a implementare e "migliorare" il software malevolo con cui conducono i loro attacchi
20/02/2024 di Enzo Boldi
Mentre l’attenzione mediatica italiana si concentrava sui “banali” attacchi DDoS del collettivo NoName057, i veri attori più pericolosi per la sicurezza informatica nazionale (come abbiamo visto con PA Digitale) e internazionale stavano proseguendo in offensive ben più profonde e con effetti molto più gravi. Tutti parlavano delle rivendicazioni via Telegram per banali disservizi provocati da un sovraccarico di accessi a un sistema informatico, mentre LockBit proseguiva nei suoi attacchi malware e nei data breach. Almeno fino a oggi. Ma chi sono questi “hacker cattivi”?
LEGGI ANCHE > L’azione congiunta UE-USA-UK che ha messo K.O. il sito della cybergang Lockbit
Le prime tracce di LockBit in rete risalgono al settembre del 2019. Il malware, almeno inizialmente, appariva come “.abcd” come estensione del file con i dati esfiltrati e crittografati in seguito a un attacco. E questo principio, al netto della denominazione, è rimasto valido nel corso degli anni. Ma con evoluzioni che hanno reso il software – un RaaS, Ransomware-as-a-Service, venduto anche al di fuori della cyber-gang e pagato attraverso una percentuale dei profitti degli attacchi – sempre più performante e di difficile lettura in termini di sicurezza informatica. O, almeno, con le soluzioni e i rimedi che hanno (almeno inizialmente) rincorso queste novità.
LockBit, chi sono e come hanno agito finora
Spesso e volentieri, quando si parla di LockBit si fa riferimento alla Russia. Si tratta, però, di un dettaglio non propriamente preciso. Questa attribuzione deriva dal fatto che nelle chat iniziali, si utilizzava l’alfabeto cirillico tipico di Mosca e dintorni. Non è detto, però, che l’intero gruppo – che utilizza TOX per le comunicazioni interne ed esterne e sviluppa (come ovvio) tutta la sua attività nel dark web – sia composto solo ed esclusivamente da personaggi legati alla Federazione Russa. Loro stessi, in più occasioni, hanno dichiarato di fare ciò che fanno esclusivamente per soldi. Senza bandiere. Inoltre, si parla di una base composta da circa 20/25 membri a cui si vanno a sommare gli affiliati.
La versione 3.0
Al netto della composizione, l’ascesa di quello che sembra essere uno dei più longevi gruppi di cyber-criminali è iniziata nel 2021 con il rilascio di LockBit 2.0. Una versione aggiornata del software malevolo utilizzato (e venduto, come spiegato in precedenza) per attaccare Accenture, Thales, il porto di Lisbona e molte altre aziende. Pubbliche (come ospedali) e private. Poi, nel 2022, l’aggiornamento di quel software, con la versione 3.0 comparsa per la prima volta nel mese di giugno. Questa versione è stata utilizzata anche per i recenti attacchi ai data center di Westpole in Italia e ai servizi informatici della Contea di Fulton, in Georgia. Ma come funziona?
Il principio è lo stesso di altri ransomware: si parte crittografando i file presenti all’interno dei sistemi violati (spesso a causa di bug o falle di sistema) e poi chiede un riscatto – alla vittima stessa – per decriptarli. La vittima riceve una nota, con il file che ha una nuova denominazione (e una nuova estensione). Dunque, tutto sembra seguire il classico principio del più classico dei ransomware. Dunque, cosa cambia? Rispetto agli altri e alla versione precedente, sembra riuscire a eludere le possibili soluzioni di sicurezza informatica. In che modo? La sua capacità di crittografia è ultra-veloce e ciò consente il blocco – praticamente immediato, o giù di lì – dei file. Dunque, basta una falla e in pochi minuti i file vengono – di fatto – sottratti.