È realmente finita l’era degli attacchi ransomware di LockBit?

Se ci limitassimo solamente ai comunicati, più o meno ufficiali, e alle dichiarazioni pubbliche arrivate dopo l’avvio della cosiddetta “Operazione Cronos“, potremmo pensare che il regno del cyber-terrore di LockBit sia arrivato al termine. Dopo quattro lunghissimi anni che hanno rappresentato una vera e propria scalata nella gerarchia dei criminali informatici più pericolosi, l’intervento coordinato di forze internazionali (da FBI a NCA britannica, fino ad arrivare all’Europol) sembra aver colpito al cuore la più attiva gang di criminali informatici che ha seminato panico in tutto il mondo. Ma le cose stanno andando realmente così?

LEGGI ANCHE > L’azione congiunta UE-USA-UK che ha messo K.O. il sito della cybergang LockBit

Partiamo dai fatti. Come abbiamo spiegato negli approfondimenti precedenti, l’infrastruttura (i cui domini .Onion sono consultabili solamente nel dark web) che ospita anche i mirror dei data leak risulta essere parzialmente disconnessa. Per esempio, la pagina relativa alla pubblicazione dei dati in seguito ai precedenti attacchi ransomware sembra essere ancora raggiungibile. Sicuramente, però, l’intervento coordinato delle forze internazionali sta agendo anche per bloccare quegli accessi. Ma questo è solamente un aspetto, quello più immediato, che non riesce a raccontare quello che potrebbe non essere l’epilogo di questa vicenda.

LockBit, è la fine di un’Era per gli attacchi ransomware?

Nel colpo di teatro di questa operazione, l’annuncio (atteso per le 12.30, ora italiana, di oggi) ha sfatato molte delle perplessità emerse nel corso delle prime fasi della cosiddetta “Operazione Cronos”.

Quick observations of the #cronos take over of #lockbit.

Compared to the Alphv takeover, this lockbit operation appears to be comprehensive, and you can’t see lockbit getting off the mat from this. Not at least in its current form.

What is available now:
– multiple screenshots… pic.twitter.com/0JTUtGEQjO

— CyberKnow (@Cyberknow20) February 20, 2024

La NCA britannica ha spiegato i dettagli dell’operazione che, di fatto, non ha solamente congelato le attività del gruppo di cyber-criminali entrando in possesso del codice sorgente della loro infrastruttura:

«LockBit disponeva di uno strumento di esfiltrazione dei dati su misura, noto come Stealbit, utilizzato dagli affiliati per rubare i dati delle vittime. Nelle ultime 12 ore questa infrastruttura, con sede in tre paesi, è stata sequestrata dai membri della task force Op Cronos e sono stati rimossi anche 28 server appartenenti agli affiliati LockBit». 

A livello pratico, però, ci sono state anche – parallelamente – degli interventi al di fuori dell’ecosistema digitale, con due arresti avvenuti in Polonia e Ucraina:

«L’infiltrazione tecnica e l’interruzione sono solo l’inizio di una serie di azioni contro LockBit e i suoi affiliati. Nell’ambito di un’azione più ampia coordinata da Europol, questa mattina sono stati arrestati due attori di LockBit in Polonia e Ucraina, oltre 200 conti di criptovaluta collegati al gruppo sono stati congelati. Il Dipartimento di Giustizia degli Stati Uniti ha annunciato che due imputati responsabili dell’utilizzo di LockBit per effettuare attacchi ransomware sono stati accusati penalmente, sono in custodia cautelare e dovranno affrontare un processo negli Stati Uniti. Gli Stati Uniti hanno inoltre aperto le accuse contro altri due individui, di nazionalità russa, per aver cospirato per commettere attacchi LockBit». 

Sembra essere, dunque, la fine dei giochi per la cyber-gang che, come dimostrato dagli arresti, potrebbe non essere costituita esclusivamente da russi. C’è un però: questo primo grande round è stato vinto grazie a un’operazione condivisa e congiunta, ma dietro l’angolo potrebbe esserci un futuro ancor più pericoloso a livello di sicurezza informatica. La decapitazione strutturale di questa organizzazione è un grande passo in avanti, ma le minacce potrebbero non finire qui. Potrebbero cambiare nome e tattiche, per esempio. Occorre che tutti i Paesi impongano ad aziende pubbliche e private un corretto comportamento di prevenzione.