Il ritorno di LockBit: dal nuovo sito nella darknet ai documenti su Trump

In termini percentuali, il ritorno in attività di Lockbit era vicino al 99,9%. Già la scorsa settimana, contestualmente all’annuncio – e alla conferma – dell’azione congiunta (tra NCA, FBI ed Europol) denominata “Operazione Cronos“, avevamo messo in dubbio l’equazione per cui, secondo molti, la cyber-gang criminale fosse arrivata alla parola fine della sua esistenza. E ora, esattamente sette giorni dopo, possiamo confermare che i timori di una rinascita – a mo’ di fenice – erano reali. Il colpo inferto è stato, ovviamente, molto pesante. Ma è difficile pensare che la presa di controllo di più domini e server rappresenti l’assassinio digitale di un gruppo che negli anni ha messo a soqquadro la sicurezza informatica di aziende pubbliche e private.

LEGGI ANCHE > Come volevasi dimostrare: il mostro di LockBit è tornato

Sì, ci sono stati degli arresti. Sì, il sito principale dei data leaks è finito nelle mani della National Crime Agency britannica, con tanto di atteggiamento sferzante nei confronti dei pirati informatici. Ma era fin troppo ovvia la presenza di copie di backup, su server nascosti, di almeno parte dei dati sottratti nel corso della lunga attività ransomware di LockBit e dei suoi affiliati. Ed eccoci a oggi, a una settimana dagli annunci in pompa magna, con la ricomparsa sul dark web di rivendicazioni e conti alla rovescia sull’imminente pubblicazione di alcuni dati sottratti.

LockBit, il ritorno: il nuovo sito nella darknet

La nuova pagina di LockBit è raggiungibile sulla darknet attraverso il software Tor. Esattamente come quelle precedenti. La configurazione è la stessa, così come il layout grafico. Di fatto, dunque, l’intera piattaforma è stata ricostruita nel giro di pochi giorni. Con meno pagine, ma con la stessa tipologia di minacce. Non è un caso, infatti, che nel giro di poche ore – come riportato dal portale Ransomfeed – la cyber-gang abbia rivendicato almeno otto attacchi ransomware ad altrettante aziende americane.

I documenti sul caso Trump

Insomma, tutto sembra essere tornato come prima. Come prima dell’Operazione Cronos, come prima degli annunci congiunti NCA-FBI-Europol. Forse, ma solo per il momento, con una potenza di fuoco differente, ma con in mano una carta che sembra essere destinata a restituire “credibilità” a un’organizzazione criminale che – fin dal 2019 – ha fatto degli attacchi ransomware (attraverso un software malevolo sviluppato da loro stessi e messo a disposizione degli affiliati) il suo marchio di fabbrica. Parliamo del recente attacco alla Contea di Fulton, in Georgia, che per giorni ha paralizzato l’accesso ai sistemi informatici.

Una paralisi che ha avuto effetti immediati, ma che potrebbe averne di più profondi tra pochi giorni. Sul nuovo sito darkweb, LockBit ha fatto partire un nuovo conto alla rovescia (con scadenza fissata per il 2 marzo, a meno che non venga pagato il riscatto richiesto). E LockBitSupp (il nickname di colui il quale sembra essere la mente dietro il gruppo) ha spiegato che all’interno di quella cartella – di cui c’era una versione di backup, quindi il blocco dei server non ha portato a nulla se non a un rallentamento della loro attività – ci sono dei documenti molto importanti. Alcuni dei quali sono relativi all’ultima vicenda giudiziaria che vede coinvolto l’ex Presidente americano (e candidato Repubblicano, stando ai sondaggi e ai primi risultati delle Primarie).

Ricordate quella foto segnaletica pubblicata dallo stesso Trump sui social? Parliamo di quella vicenda. Quella che vede l’ex numero uno della Casa Bianca indagato per aver tentato di sovvertire il voto in Georgia nel 2020. L’indagine è partita proprio dalla Procura distrettuale della Contea di Fulton e quella foto segnaletica arriva proprio dal carcere di quella Contea. E, almeno stando alle minacce, l’attacco ransomware ha provocato un data breach che – al suo interno – contiene anche dei documenti molto importanti su questa vicenda.