Dalla Contea di Fulton a Westpole: le ultime “imprese” di LockBit
La cybergang è stata la più attiva, nel settore attacchi ransomware, nel corso dell'ultimo anno. E anche i primi due mesi del 2024 sono stati pieni di offensive
20/02/2024 di Enzo Boldi
Hanno rivendicato quasi 150 attacchi nei primi 50 giorni del 2024. Nel corso dell’anno precedente, è stata la cyber-gang più attiva (e non solo per quel che riguarda le attività ransomware). Per molti anni – fin dalla sua prima comparsa data 2019 – LockBit è stato uno degli attori più pericolosi per quel che riguarda il comparto della cyber security mondiale, con azioni continue e obiettivi più o meno mirati che sono stati in grado di paralizzare le attività di aziende, enti e pubbliche amministrazioni. Oltre a divulgare, attraverso la loro piattaforma di leak, centinaia di migliaia di dati personali (anche estremamente sensibili) di utenti e cittadini. In attesa di capire se l’operazione internazionale congiunta che questa notte ha messo K.O. le attività di questa realtà apolide (per definizione), andiamo a ripercorrere i più grandi e clamorosi attacchi condotti nel corso degli ultimi mesi.
LEGGI ANCHE > L’azione congiunta UE-USA-UK che ha messo K.O. il sito della cybergang Lockbit
Partiamo da quello più famoso, almeno per effetti anche sul nostro Paese. Era l’8 dicembre del 2023, quando LockBit mise il suo mirino su Westpole sul cui sistema cloud si appoggia anche buona parte della Pubblica Amministrazione italiana. Furono colpiti i data center di Roma e Milano, su cui gira PA Digitale (gestito da Buffetti). Questo ha portato, per moltissimi giorni, all’impossibilità di accedere ai servizi. Sia per gli utenti, sia per le PA. Si tratta, di fatto, del più grave attacco informatico – a cascata – subìto dalla Pubblica Amministrazione del nostro Paese.
LockBit e i suoi ultimi attacchi ransomware
Questo, però, è solo uno dei 1.030 attacchi ransomware perpetrati dai cyber-criminali di LockBit nel 2023, come riporta il portale Ransomfeed. E l’inizio del 2024 era iniziato con il botto: ben 147 offensive tra il mese di gennaio e i primi 19 giorni di febbraio. Tra questi ultimi, quello che ha fatto più rumore risale al giorno di San Valentino: il 14 febbraio di quest’anno, infatti, LockBit ha colpito i servizi-chiave della Contea di Fulton, in Georgia (negli Stati Uniti). In realtà, i problemi erano iniziati nelle settimane precedenti, quando la stessa amministrazione locale aveva ammesso di esser stata vittima di un incidente informatico. Proprio quanto accaduto di recente, sembra aver dato la scossa e accelerato i tempi dell’operazione Cronos, a cui ha partecipato anche il Federal Bureau of Investigation (FBI) in collaborazione con una task force internazionale (tra cui Europol).
L’attacco all’Agenzia delle Entrate che non era l’Agenzia delle Entrate
Ma torniamo in Italia. Torniamo al 2022. LockBit aveva da poco rivendicato un attacco ransomware (quindi con richiesta di riscatto) ai danni dell’Agenzia delle Entrate. Per settimane si è indagato sulla profondità e sugli effetti di questa offensiva, fino ad arrivare al giorno della scadenza dell’ultimatum e alla pubblicazione dei dati esfiltrati con il data breach. Confermando quanto già sottolineato da Sogei, in realtà i pirati informatici non avevano colpito l’Agenzia, ma un ente terzo. Ovviamente, si è trattato comunque di una questione delicata e grave, soprattutto per la stabilità e la sicurezza dei sistemi informatici italiani, ma il mirino era stato posizionato verso un obiettivo sbagliato. Mentre l’obiettivo è stato centrato all’inizio del 2022, con l’ASP di Messinae la ULSS6 Euganea.